2
Opgesteld door Frank van Zutphen, Judith van der Zweerde & Astrid van den Biggelaar
Met medewerking van: Art Klijn, Arnoud Quanjer & Boudewijn Cremers
Datum 21 december 2017
Versie Versie 1.0
3
Inhoud
Managementsamenvatting 4
1 Inleiding 6 1.1 Aanleiding 6
1.2 Vraagstelling 6
1.3 Aanpak & methodologie 8
1.4 Leeswijzer 9
2 Regie op Gegevens 10 2.1 Concept Regie op Gegevens 10
2.2 Projectbeschrijving praktijkbeproeving 16
2.3 Stand van zaken in Nederland 20
3 Technische beschrijving praktijkbeproeving 25 3.1 Architectuur 25
3.2 Baseline Informatiebeveiliging Nederlandse Gemeenten 33
3.3 Aandachtspunten en aanbevelingen 35
4 Resultaten praktijkbeproeving 41 4.1 Ervaringen burgers 41
4.2 Ervaringen dienstverleners 52
5 Opschalingsanalyse 55 5.1 Conclusies 55
5.2 Aanbevelingen en vervolgacties 56
Bijlage A: Gesprekspartners 60
Bijlage B: Gebruikte bronnen 61
Bijlage C: Schermen inschrijven bij woonstichting 63
Bijlage D: Detailresultaten BIG 66 Resultaten vragenlijst beschikbaarheid 66
Resultaten vragenlijst integriteit 67
Resultaten vragenlijst vertrouwelijkheid 69
Resultaten vragenlijst privacy 70
4
Managementsamenvatting
Inleiding/aanleiding
Regie op Gegevens gaat over het teruggeven van de regie aan mensen over hun eigen gegevens.
Zij zijn het middelpunt en bepalen wie, wanneer tot welke van hun gegevens toegang wordt
verleend én krijgen inzicht in wie hun gegevens waarvoor heeft gebruikt. ‘Regie op Gegevens’ staat
ook wel bekend als ‘Persoonlijk Datamanagement’. Dit is het beheren van gegevens die te
relateren zijn aan een persoon gedurende de gehele levenscyclus van deze gegevens.
In Boxtel is in juli 2017 een geslaagde praktijkbeproeving gedaan met Regie op Gegevens. In het
voorliggende rapport is beschreven wat de impact is geweest van deze praktijkbeproeving.
Urgentie en doel
De wereld om ons heen wordt steeds digitaler. Digitale gegevens spelen een rol in steeds meer
processen en diensten. Daardoor wordt het voor een ieder steeds belangrijker om deze gegevens
goed te kunnen managen. Regie op Gegevens gaat over het teruggeven van de regie aan mensen
over hun eigen gegevens. Zij zijn het middelpunt en bepalen wie, wanneer tot welke van hun
gegevens toegang wordt verleend (‘actieve’ Regie op Gegevens).
Regie op Gegevens kan een oplossing zijn om de gewenste gegevensuitwisselingen tot stand te
brengen in overeenstemming met alle privacy voorschriften en de nieuwe Algemene Verordening
Gegevensbescherming (AVG).
Daarnaast wordt het ook steeds belangrijker dat burgers inzage hebben in de gegevens die de
overheid van haar gebruikt, wie deze gegevens gebruikt en waarom deze gegevens worden
gebruikt. Dit geeft de burger betere controlemogelijkheden van de overheid (‘passieve’ Regie op
Gegevens).
Proeftuin Regie op Gegevens in Boxtel
In de proeftuin Regie op Gegevens in Boxtel is getest (met een groep van 13 deelnemers) of het
mogelijk was om de burger in staat te stellen om toestemming te verlenen voor de levering van
een beperkte set van persoonsgegevens (NAW-gegevens) vanuit de gemeente Boxtel aan de
Woonstichting St. Joseph via het Qiy Afsprakenstelsel bij het inschrijven als woningzoekende bij de
woonstichting. De praktijkbeproeving is medio 2016 gestart en is in juli 2017 afgerond.
De gegevensuitwisseling tussen de gemeente Boxtel en de Woonstichting St. Joseph is in de
praktijkbeproeving geslaagd. Daarmee is voor het eerst in een gemeentelijke omgeving een
gegevensuitwisseling tot stand gekomen conform het concept van Regie op Gegevens.
In het project zijn eveneens een Baselinetoets Informatiebeveiliging Nederlandse Gemeenten (BIG)
en een gebruiksvriendelijkheidstest uitgevoerd.
Op basis van de resultaten van de BIG op de praktijkbeproeving van Regie op Gegevens bij de
gemeente Boxtel en de Woonstichting St. Joseph valt op te maken dat de resultaten voor
beschikbaarheid en integriteit binnen de baseline vallen en dat de praktijkbeproeving op een losse
vraag voor vertrouwelijkheid en privacy buiten de baseline valt. Dat betekent dat er een
risicoanalyse moet worden uitgevoerd en een privacy impactanalyse. Voor deze specifieke
praktijkbeproeving is er voor gekozen om niet de standaard diepgaande risicoanalyse uit te voeren,
5
maar de beoordeling op de architectuur van het Qiy Afsprakenstelsel en de privacy impactanalyse
mee te nemen in het advies, aangezien deze in dit geval meer toegevoegde waarde hebben. Regie
op Gegevens past binnen ‘Common Ground’ voor de vernieuwing van de informatiehuishouding van
gemeenten.
De tevredenheid van de gebruikers tijdens de praktijkbeproeving was hoog, overigens hoger dan
op grond van de observaties van de aanwezige waarnemers zou worden verwacht. Er werd
regelmatig naar de waarnemers bij de test gekeken over wat er in de volgende stap gedaan moest
worden (vooral bij het scannen van de QR-code, of als er iets vastliep door een minder goede
wifiverbinding). Dan was enige aanmoediging of ondersteuning nuttig. De deelnemers gaven aan
de andere kant ook verschillende malen aan, dat het best eenvoudig werkt als je het proces een
keer hebt doorlopen. Als je precies weet wat je moet doen, kost het ongeveer 2 minuten om dit
inschrijfproces te voltooien.
De gemeente Boxtel was positief over deze proeftuin voor het inschrijfproces bij de woonstichting
en bekijkt nu of het interessant is om de proeftuin van een acceptatie omgeving naar een
productieomgeving te brengen. De gemeente Boxtel staat ook open voor een volgende proeftuin op
een ander thema. Daarbij is het wel van belang dat de burger echt merkt dat de dienstverlening
van de gemeente beter en eenvoudiger wordt door de burger regie op zijn gegevens te geven.
Aanbevelingen en gewenste vervolgacties
Uit de impactanalyse zijn drie typen aanbevelingen en vervolgacties naar voren gekomen:
• (Rijks)overheid? Durf te doen! Regie op Gegevens faciliteren voor burgers is voor
gemeenten niet interessant als de Rijksoverheid niet meedoet. Het concept kan alleen
succesvol worden geïntroduceerd als de overheid vanuit verschillende bestuurslagen optimaal
samenwerkt. Daarom zijn er verschillende suggesties voor vervolgacties geformuleerd voor de
Rijksoverheid (spreek je positief uit over Regie op Gegevens / persoonlijk datamanagement,
zorg ook voor generieke financiering, zorg voor goede governance van het Qiy
Afsprakenstelsel, participeer in het afsprakenstelsel en zorg voor kennisdeling). Pas als hier
‘groen licht’ op is gekomen, dan wordt het voor gemeenten opportuun om verder te gaan met
het concept Regie op Gegevens.
• Naar een selectie van proeftuinen. In de concept greenpaper Regie op Gegevens? Durf te
doen! is een oproep gedaan om echt aan de slag te gaan. Op grond van de ervaringen met de
proeftuin in Boxtel zijn suggesties gedaan voor de selectie van toekomstige proeftuinen (zorg
voor experimenteerruimte, stel het perspectief van de burger centraal, streef naar beheersing
van de complexiteit van nieuwe proeftuinen).
• Onderzoeksvragen Qiy Afsprakenstelsel. Bij de uitvoering van de Proof of Concept met de
gemeente Boxtel en de Woonstichting St. Joseph zijn verschillende aandachtspunten naar
voren gekomen met betrekking tot de werking van het Qiy Afsprakenstelsel in relatie tot
bestaande voorzieningen en wettelijke verplichtingen. Het gaat hier om generieke
onderzoeksvragen, die idealiter in een separaat onderzoekspoor gelijktijdig met proeftuinen
kunnen worden beantwoord.
6
1 Inleiding
1.1 Aanleiding
De wereld om ons heen wordt steeds digitaler. Digitale gegevens spelen een rol in steeds meer
processen en diensten. Daardoor wordt het steeds belangrijker om deze gegevens goed te kunnen
managen. In het rapport ‘Maak Waar’1 is de conclusie getrokken dat Nederland veel te winnen
heeft bij verdere digitalisering, maar dat de digitale dienstverlening dan wel proactief
georganiseerd moet worden rond de behoeften van burgers en bedrijven.
Regie op Gegevens gaat over het teruggeven van de regie aan mensen over hun eigen gegevens.
Zij zijn het middelpunt en bepalen wie, wanneer tot welke van hun gegevens toegang wordt
verleend én krijgen inzicht in wie hun gegevens waarvoor heeft gebruikt. ‘Regie op Gegevens’ staat
ook wel bekend als ‘Persoonlijk Datamanagement’. Persoonlijk Datamanagement is het beheren
van gegevens die te relateren zijn aan een persoon gedurende de gehele levenscyclus van deze
gegevens.
Regie op Gegevens is tot op heden vooral uitgewerkt op conceptniveau en er was grote behoefte
om het concept te vertalen naar een praktische en concrete uitwerking om de werking van het
concept in de werkelijkheid te kunnen ervaren.
In de gemeente Boxtel is daarom een proeftuin ingericht met als doel een beproeving te doen van
de technische mogelijkheden om burgers regie te geven over de gegevens die de gemeente van
hen heeft, te laten zien of dit juridisch en organisatorisch mogelijk is en te verkennen of dit
gewenst is door burgers. De proeftuin bestaat uit het uitvoeren van een concrete gemeentelijke
praktijkbeproeving op basis van het Qiy Afsprakenstelsel, waarbij de inwoner zich inschrijft bij een
woonstichting. De proeftuin is gericht op het delen van door de gemeente gevalideerde gegevens
door de burger via de infrastructuur van het Qiy Trust Framework. Daarbij maakt de burger
gebruik van de Dappre app.
1.2 Vraagstelling
In de voorliggende rapportage worden de volgende onderzoeksvragen beantwoord:
• Wat zijn de ervaringen van de proeftuin Regie op Gegevens in Boxtel?
• Hoe kan het concept dat je als burger regie hebt op je eigen gegevens een stap
verder worden gebracht?
• Wat zijn mogelijke vervolgactiviteiten?
• Wat is de impact van opschaling?
In het plan van aanpak voor de praktijkbeproeving is een nadere uitwerking gemaakt van de
hierboven genoemde onderzoeksvragen.
Parallel aan spoor 1 (de praktijkbeproeving) is in het denkspoor door middel van testen beoordeeld
worden of er sprake is van borging van veilig uitwisselen van informatie en borging van privacy.
Vastgesteld is of de ontsluiting van persoonsgegevens via de persoonlijke Qiy node valt onder de
Wet Basis Registratie Persoonsgegevens (Wet BRP), Wet Bescherming Persoonsgegevens (WBP),
1 Studiegroep Informatiesamenleving en Overheid (2017), Maak Waar!
7
die wordt opgevolgd door de Algemene Verordening Gegevensbescherming (AVG) en de Wet
Elektronisch Berichtenverkeer (Wet EBV). Ook is in kaart gebracht welke wettelijke mogelijkheden
er zijn voor het bepalen van de positie van de burger ten opzichte van het gebruik van deze
gegevens.
Verder zijn binnen het denkspoor de volgende vragen beantwoord:
• Hoe ervaren burgers regie over hun eigen gegevens?
• Wat betekent het als burgers (en ondernemers) van een gemeente kunnen koppelen op een
set gegevens ter beschikking gesteld door de overheid / hun gemeente? Wat zijn de
mogelijkheden en onmogelijkheden?
• Hoe kan de infrastructuur van het Qiy Trust Framework (die gebonden is aan de regels van
het Qiy Afsprakenstelsel) ingezet worden om de gekozen doelgroepen de regie te geven over
hun eigen gegevens?
• Leidt deze regiefunctie tot efficiëntere dienstverlening in de zin van procesverbetering,
kostenverlaging, meer transparantie en een hogere tevredenheid bij de burger (en instelling)?
• Is een dergelijk afsprakenstelsel ook toepasbaar ten behoeve van andere producten-en
diensten van de overheid en van gemeenten?
• Wat is de meerwaarde voor burgers om via of vanuit het gemeentelijk domein de burger haar
regie op eigen gegevens terug te geven?
• Is de gerealiseerde oplossing gewenst door verschillende doelgroepen?
• Wat is de betekenis van de oplossing voor burgers, voor de gemeente, de overheid en voor
aangesloten partijen?
De voorliggende rapportage is nadrukkelijk geen impactanalyse op het concept Regie op Gegevens
of een impactanalyse op het Qiy Trust Framework.2 Het onderzoeksobject was de
praktijkbeproeving in Boxtel en in deze rapportage is dan ook gekeken naar de ervaringen van de
proeftuin in Boxtel en wat er nodig is om Regie op Gegevens een stap verder te brengen. Wij
hebben niet gekeken naar wat er nodig is om Regie op Gegevens volledig naar de ‘stip op de
horizon’ te brengen. Dat kan overigens ook nog niet want dit is vanzelfsprekend sterk afhankelijk
van landelijke ontwikkelingen, landelijk beleid en keuzes die nog gemaakt moeten worden. Een
aantal van de vraagstukken wordt geschetst in het programmavoorstel3 voor Regie op Gegevens in
opdracht van het ministerie van BZK en het ministerie van EZ.
2 In 2015 is een impactanalyse gemaakt van het Qiy Afsprakenstelsel binnen het gemeentelijke domein (zie:
Van Erven, M. & T. Venrooy (2015), Impactanalyse Qiy Afsprakenstelsel binnen het gemeentelijk domein). In die impactanalyse is in opdracht van de gemeente Boxtel en Rotterdam een onderzoek uitgevoerd of, en zo ja op welke manier, implementaties op basis van het Qiy Afsprakenstelsel door de gemeente ingezet kunnen worden om burgers de regie te geven over hun eigen gegevens.
3 Programma Regie op Gegevens (2017), Regie op gegevens? Aan de slag! Meer Waarde, voor iedereen. Programmavoorstel 2018-2021.
8
1.3 Aanpak & methodologie
1.3.1. Plan van aanpak
Om de bovengenoemde onderzoeksvraag te kunnen beantwoorden hebben wij in het denkspoor de
periode van mei tot en met augustus 2017 de volgende activiteiten uitgevoerd:
• Deskresearch;
• Interviews met gemeenten, woonstichting, softwareleveranciers en andere stakeholders (zie
bijlage A: Gesprekspartners);
• Baselinetoets Informatiebeveiliging Nederlandse Gemeenten (BIG4);
• Usability-onderzoek (hierna: gebruiksvriendelijkheidstest)5 / testpanel met burgers;
• De conceptversie van het rapport is voorgelegd aan een begeleidingscommissie (26 september
2017, bestaande uit de gesprekspartners uit bijlage A).
1.3.2. Methodologie
Voor deze analyse hebben wij het opschalingskader van KING gebruikt. Het gebruik van dit
opschalingskader zorgt ervoor dat alle relevante elementen van het opschalingsvraagstuk worden
meegenomen. Op deze manier wordt voorkomen dat bepaalde onderdelen worden ‘vergeten’. Het
opschalingskader is in de volgende figuur opgenomen.
4 De BIG is een instrument waarmee gemeenten in staat zijn om te meten of de organisatie ‘in control’ is op
het gebied van informatiebeveiliging (zie https://www.ibdgemeenten.nl/producten/strategische-en-tactische-big/).
5 https://www.kinggemeenten.nl/secties/kenniscentrum-dienstverlening/producten/catalogus-gebruikersperspectief/usability-test-lab.
9
Het eerste element van het opschalingskader is de projectbeschrijving. Hierin wordt een beschrijving
gegeven van het project (inclusief plan van aanpak) en het belang van het project. Het tweede element van het
opschalingskader is de coherentie. Hoe past het project binnen de Digitale Agenda 2020 en binnen andere
beleidsdoelen en externe ontwikkelingen? Het derde element betreft de analyse van de stakeholders &
rollen. Welke rollen liggen voor de hand bij het oplossen van de problemen / benutten van kansen? Vervolgens
wordt gekeken naar de samenhang: hoe past de ICT-oplossing in het bestaande landschap (bouwstenen,
gemeentelijke ICT) en in hoeverre is deze oplossing schaalbaar? Daarna wordt gekeken naar de effecten &
alternatieven. Welke input is nodig, tot welke output en outcome leidt dit en welke risico’s zijn te
onderkennen? Hierbij wordt gekeken naar de SCOPAFIJTH thema’s en naar de gevolgen binnen en buiten de
gemeente. Als laatste kan worden gekeken naar de maatschappelijke meerwaarde. Wat zijn de kosten en
baten van de opschaling en hoe is de financiering te organiseren? Het gebruik van het opschalingskader zorgt
ervoor dat alle relevante elementen van opschalingsvraagstukken mee worden genomen.
1.4 Leeswijzer
Na dit inleidende hoofdstuk geeft hoofdstuk 2 een beschrijving van het concept Regie op Gegevens
en hoe dat past binnen de huidige ontwikkelingen. Vervolgens is een globale schets gemaakt van
de praktijkbeproeving. Hoofdstuk 2 is in het bijzonder geschreven voor de lezer die snel algemene
informatie wenst over Regie op Gegevens en de praktijkbeproeving in Boxtel.
In hoofdstuk 3 is een nadere uitwerking gemaakt van de techniek achter de praktijkbeproeving.
Hier is een detailuitwerking gemaakt van de architectuur en het proces van de oplossing in de
praktijkbeproeving. Tevens is hier het resultaat van de Baselinetoets Informatiebeveiliging
Nederlandse Gemeenten opgenomen. Dit hoofdstuk is in het bijzonder geschreven voor architecten
en voor informatiebeveiligingsfunctionarissen.
In hoofdstuk 4 zijn de resultaten van de praktijkbeproeving opgenomen, waarbij met name
aandacht is besteed aan hoe de deelnemers aan het testpanel (de burgers) de praktijkbeproeving
hebben ervaren. Dit hoofdstuk is vooral geschreven voor lezers die meer zicht wensen op de
resultaten van de praktijkbeproeving.
In het laatste hoofdstuk zijn de conclusies en het opschalingsadvies gepresenteerd. In de eerdere
hoofdstukken zijn verschillende aanbevelingen en gewenste vervolgacties benoemd en deze
worden in het laatste hoofdstuk in samenhang gepresenteerd. Dit hoofdstuk is in het bijzonder
interessant voor beleidsmakers met interesse in het vervolg en voor VNG / KING.
10
2 Regie op Gegevens
In dit hoofdstuk is een nadere uitwerking gemaakt van Regie op Gegevens. Dit hoofdstuk is
geschreven voor de lezer die snel een eerste indruk wil hebben van het concept Regie op Gegevens
(paragraaf 2.1) en van de praktijkbeproeving in de gemeente Boxtel (paragraaf 2.2). In paragraaf
2.3 is tot slot een schets gemaakt van de huidige stand van zaken van Regie op Gegevens bij
gemeenten in Nederland.
Detailinformatie over de praktijkbeproeving (uitwerking proces, architectuur, baseline
informatietoets) is te vinden in hoofdstuk 3 en de resultaten van de praktijkbeproeving zijn
opgenomen in hoofdstuk 4.
2.1 Concept Regie op Gegevens
2.1.1. Algemene introductie
Er is vreemd genoeg geen goede definitie van persoonlijk datamanagement (PDM) te vinden op de
Nederlandse versie van Wikipedia. Op de Engelse versie wel en daar wordt de volgende definitie
gegeven van Personal Information Management:6
Personal information management (PIM) is the activities people perform in order to acquire,
organize, maintain, retrieve and use personal information items such as documents (paper-based and
digital), web pages and email messages for everyday use to complete tasks (work-related or not) and
fulfill a person's various roles (as parent, employee, friend, member of community, etc.).
Persoonlijk datamanagement (PDM) gaat over de mogelijkheden van burgers en bedrijven om
regie te voeren over hun gegevens passend bij de mogelijkheden van digitale dienstverlening en
rekening houdend met privacybelangen. Echt persoonlijk datamanagement wordt mogelijk door het
creëren van een digitaal ecosysteem, waarbij een burger regie op gegevens heeft in de vorm van:
• inzage in zijn persoonlijke gegevens en het gebruik daarvan door derden;
• de mogelijkheid om gegevens te rectificeren als dat nodig is, en;
• de mogelijkheid om gegevens te (her)gebruiken, zowel binnen de overheid als daarbuiten.
Regie op Gegevens met behulp van Qiy Trust Framework
Er zijn verschillende afsprakenstelsels op het gebied van persoonlijk datamanagement.7 Het Qiy
Afsprakenstelsel is een afsprakenstelsel voor persoonlijk datamanagement, waarbij de burger regie
voert over zijn gegevens en waarbij de burger ook in staat wordt gesteld om – indien gewenst –
gegevens uit te wisselen met en tussen organisaties. Het Qiy Afsprakenstelsel richt zich niet alleen
op technische regels, maar ook op de functionele, juridische en organisatorische afspraken. Het Qiy
Trust Framework is de naam voor de infrastructuur die zich houdt aan de regels van het Qiy
Afsprakenstelsel.8 Voor de praktijkbeproeving in Boxtel is gebruik gemaakt van het Qiy
Afsprakenstelsel en het Qiy Trust Framework, vandaar dat wij deze hier nader toelichten.
6 https://en.wikipedia.org/wiki/Personal_information_management. 7 Andere voorbeelden van afsprakenstelsels zijn bijvoorbeeld MedMij (https://www.medmij.nl/) of Idensys. 8 Iedere organisatie kan dergelijke infrastructuur ontwikkelen en daarvoor een licentie verwerven van de Qiy
Foundation.
11
Om gegevens uit te wisselen tussen verschillende organisaties wordt binnen het Qiy Trust
Framework gebruik gemaakt van een persoonlijke Qiy node. De Qiy node zelf bevat nauwelijks
gegevens. Praktisch gezien is de werking ongeveer als volgt. De burger laat via zijn Qiy node
organisatie A het antwoord geven op een vraag van organisatie B. De gegevensuitwisseling tussen
organisatie A en organisatie B loopt via het Qiy Trust Framework. In de volgende figuur is
opgenomen hoe dit eruit ziet en ook hoe het op dit moment is georganiseerd (traditioneel inloggen
en federatief inloggen).9
Bovenstaande afbeelding toont drie lagen: traditioneel inloggen, federatief inloggen en het Qiy Trust
Framework. Bij (federatief) inloggen moet de burger nog steeds verschillende van zijn persoonsgebonden
gegevens bij verschillende platformen ophalen (downloaden) om die vervolgens weer te uploaden naar een
partij die daar om vraagt. Echter, een burger die inlogt op zijn persoonlijke Qiy Node kan rechtstreekse
verbindingen maken tussen die Qiy Node en zijn persoonsgebonden gegevens los van de vraag bij welk
platform die persoonsgebonden gegevens zijn opgeslagen. Het Qiy Trust Framework is dus platform
onafhankelijk.
2.1.2. Coherentie
In deze paragraaf is uitgewerkt hoe het concept Regie op Gegevens samenhangt met andere
relevante maatschappelijke ontwikkelingen en hoe de doelen van regie op gegevens samenhangen
met andere doelen van gemeenten.
9 Forum Standaardisatie (2016), Analyse van het afsprakenstelsel Qiy. Rapport van bevindingen.
12
Maatschappelijke ontwikkelingen
Het gebruik van data groeit exponentieel en dit zal de komende jaren alleen nog maar verder
blijven groeien. Data wordt door sommigen ook wel het nieuwe goud genoemd. De steeds
verdergaande digitalisering zorgt er ook voor dat dit alleen nog maar meer toe zal gaan nemen
(denk aan Internet of Things (IoT), smart cities, etc.). Dit is een brede ontwikkeling in de
maatschappij, dit raakt niet alleen de relatie tussen de burger en de overheid. Meer data betekent
ook dat het steeds belangrijker wordt om deze data goed te kunnen managen. Daarbij kan data op
verschillende manieren persoonlijk zijn; persoonlijke data is: a) in bezit van, b) over, c) gericht
aan, d) verstuurd door, e) ervaren door of f) relevant voor een persoon.
De Algemene Verordening Gegevensbescherming (AVG) erkent dit toegenomen belang. Door de
AVG worden de privacyrechten van burgers uitgebreid en versterkt, waardoor burgers meer
mogelijkheden hebben om invloed te nemen bij de verwerking van hun gegevens. In de
onderstaande figuur is een overzicht opgenomen van de rechten en de waarden van de burgers.10
Doelen Regie op Gegevens
Persoonlijk datamanagement of Regie op Gegevens11 kan bijdragen aan het realiseren van
verschillende doelen:
• Regie op Gegevens stelt burgers en bedrijven in staat om zelf de regie op hun eigen gegevens
te nemen. De burger bepaalt zelf wat er gebeurt met zijn gegevens en bepaalt zelf of en
met wie hij de gegevens wil delen. Hiermee kunnen de rechten van de burger (zie ook de
figuur hierboven) verder worden versterkt.
• Een tweede belangrijk doel van persoonlijk datamanagement is om het logischer (vanuit de
klantreis) en gemakkelijker te maken voor de burger om zijn data te beheren en te
hergebruiken. Mogelijk leidt dit ook tot een tijdsbesparingen en minder irritatie bij burgers in
hun contacten met overheden en private partijen.
10 Rijksoverheid (2017), Regie op Gegevens? Durf te doen! Concept-greenpaper t.b.v. werkconferentie Regie
op Gegevens 4 juli 2017. Zie deze studie voor een nadere toelichting op de verschillende termen. 11 Regie op Gegevens wordt ook wel aangeduid met Persoonlijk Datamanagement. In het vervolg van het
rapport hanteren wij de term Regie op Gegevens.
13
• Als het beheer van data gemakkelijker wordt, dan kan dat ook leiden tot een verbetering van
de kwaliteit van data. Als een burger eenvoudig bestaande gegevens kan delen, dan kan de
kans op fouten in de data afnemen. Dit kan bij de ontvanger van de gegevens leiden tot
minder controlewerkzaamheden, tot minder fouten in de processen (die weer rechtgezet
moeten worden) en tot minder fraude en andere onrechtmatigheden.
• En last but not least, draagt Regie op Gegevens ook bij aan meer transparantie en controle
op het gebruik van gegevens van de burger. Dit versterkt de positie van de burger in de
rechtstaat, ook richting de overheid.
Doelen Regie op Gegevens i.r.t. gemeentelijke doelen
Het onderwerp Regie op Gegevens of zelfregie is één van de elementen genoemd in de
gemeentelijke visie op de toekomst van de digitale samenleving en de rol van de lokale overheid
hierin. In het Pamflet Dienstverlening 202512 is onder meer opgenomen “Zelfregie is het
toverwoord. We beheren onze eigen data en regelen onze informatiestromen.” En in een verdere
uitwerking in het pamflet staat opgenomen:
“De overheid ondersteunt de zelfregie van haar burgers en ondernemers. We bieden burgers instrumenten
om eigen beheer te voeren over de interactie met de overheid en hun eigen gegevens. We stimuleren en
respecteren dat mensen zichzelf gaan organiseren. Bijvoorbeeld door bij onze dienstverlening het aantal
noodzakelijke contactmomenten zoveel mogelijk te verminderen.”
Met het project Regie op Gegevens kan in bredere zin ook worden bijgedragen aan de doelen van
de Digitale Agenda 2020:13
• Optimaliseren van gemeenschappelijke infrastructuur;
• Verbeteren dienstverlening aan inwoners;
• Verbeteren dienstverlening aan ondernemers.
Een belangrijke ontwikkeling in het gemeentelijk domein is Samen Organiseren.14 Samen
Organiseren is een nieuwe werkwijze vanuit de uitvoeringspraktijk en de vraagstukken die hierin
leven, om samen te werken aan een eigentijdse, kwalitatieve en efficiënte gemeentelijke
uitvoering. Het is een vliegwiel voor het verbinden en versnellen van de gezamenlijke
gemeentelijke uitvoering. De Taskforce (verantwoordelijk voor nieuwe initiatieven en lopende
projecten) ziet twee prioriteiten die kunnen werken als strategische versnellers van Samen
Organiseren: een Common Ground en de digitale identiteit. Regie op gegevens door burgers en
bedrijven zijn belangrijke elementen bij beide prioriteiten.15
12 Denkdag Digitale Samenleving (2016), Dienstverlening 2025. Nederlandse gemeenten in een nieuwe relatie
met de digitale samenleving. 13 https://www.da2020.nl. 14 https://vng.nl/samen-organiseren. 15 In paragraaf 3.1.2 is een nadere uitwerking gemaakt van de samenhang tussen regie op gegevens en
Common Ground.
14
2.1.3. Stakeholders & rollen
Bij het concept Regie op Gegevens zijn verschillende rollen16 te onderscheiden. Deze zijn:
• Gebruiker. Dit kunnen zowel burgers als ondernemers zijn die de regie over hun gegevens
krijgen.
• Gegevenshouder. De organisatie die beschikt over de gegevens die de gebruiker wil
gebruiken en delen met de gegevensvrager.
• Gegevensvrager. De organisatie die de gegevens krijgt aangeleverd van de gegevenshouder
na toestemming van de gebruiker.
• Afsprakenstelsel. Een set van technische, functionele, juridische en organisatorische
afspraken op basis waarvan gegevens veilig en betrouwbaar kunnen worden uitgewisseld. Het
Qiy Afsprakenstelsel (dat gebruikt is bij deze proeftuin Regie op Gegevens) is een voorbeeld
van een dergelijk afsprakenstelsel.
• Toezichthouder. De toezichthouder controleert of aan alle afspraken wordt voldaan.
• PDM serviceprovider. Dit is de leverancier van Regie op Gegevens diensten. Een voorbeeld
van een PDM serviceprovider is Digital Me als leverancier van de infrastructuur (het Qiy Trust
Framework) en de Dappre app, die ook gebruikt zijn in de praktijkbeproeving.
Uit eerder onderzoek17 komt naar voren dat burgers zelf willen bepalen en controleren wat er met
hun data gebeurt. In de onderstaande figuur zijn enkele van de resultaten uit deze studie
weergegeven.
In aanvulling op het bovenstaande geeft 57% van de mensen aan dat ze gebruik zouden maken
van een dienst om persoonlijke gegevens te beheren. Wel hebben de respondenten uit het
onderzoek van Innovalor & Newcom Research & Consultancy nog weinig beelden bij het beheren
van de eigen data op een centrale plaats. Ondanks zicht op de uiteindelijke oplossing, lijkt er dus
duidelijk behoefte te zijn bij burgers aan regie op gegevens.
16 Voor de consistentie hebben wij in dit rapport gebruik gemaakt van de terminologie zoals in de concept
greenpaper Regie op gegevens? Durf te Doen! is gebruikt. 17 Innovalor & Newcom Research & Consultancy (2015), Nederlanders over Persoonlijke Data.
15
De gegevenshouder en de gegevensvrager kunnen zowel overheden als private organisaties zijn.
Naast de bovengenoemde rollen zijn er ook altijd één of meerdere softwareleveranciers betrokken
bij Regie op Gegevens (intermediaire partijen die de gegevensuitwisseling mogelijk maken). Dit is
een belangrijk aandachtspunt, naarmate er meer partijen betrokken zijn bij een project neemt de
complexiteit toe. Dat hebben wij ook ervaren in de praktijkbeproeving.
Er zijn verschillende belangrijke rollen voor de overheid (in brede zin) bij de ontwikkeling van Regie
op Gegevens. Allereerst is de overheid gegevenshouder en beschikt zij over veel betrouwbare en
gevalideerde gegevens van burgers en ondernemers (denk onder meer aan de basisregistraties en
MijnOverheid). Daarnaast ligt het voor de hand dat de overheid een bijdrage levert aan de invulling
van de rol van toezichthouder. Zie ook de aanbeveling in de studie van het Forum Standaardisatie
“Indien de overheid het afsprakenstelsel in gebruik wil nemen, dienen ten minste de volgende
activiteiten uitgevoerd te worden: ... het organiseren van actieve en structurele participatie van de
overheid in de governance van het afsprakenstelsel.”18 Een rol van de overheid als
toezichthouder kan ook bijdragen aan het vertrouwen van burgers in het afsprakenstelsel.
Burgers hebben immers relatief veel vertrouwen in de overheid bij het gebruik en de opslag van
gegevens.19 En tot slot ligt een rol als gegevensvrager voor de overheid voor de hand.
Tot slot zijn er verschillende redenen waarom Regie op Gegevens zonder overheidsingrijpen niet of
minder snel tot stand komt. Allereerst is er het kip-ei probleem: Regie op Gegevens wordt voor
burgers vooral interessant wanneer zij de gegevens van veel gegevenshouders met veel
gegevensvragers kunnen delen. En voor gegevenshouders is Regie op Gegevens pas interessant
om te ontwikkelen als veel burgers gebruik gaan maken van de gegevensuitwisseling, pas dan is er
een goede business case. Partijen hebben de neiging om af te wachten. Dit probleem wordt nog
vergroot doordat de ontwikkelkosten (nu nog) relatief hoog zijn en er nog veel werk verricht moet
worden om het concept Regie op Gegevens te vertalen naar praktische projecten en bruikbare
producten.
De bovengenoemde punten gelden in het bijzonder voor de overheid in het algemeen. Ook voor
gemeenten is er een belangrijke rol bij Regie op Gegevens. Gemeenten beschikken over veel
gegevens van burgers en ondernemers en zijn daarom een belangrijke gegevenshouder. Maar
gemeenten zijn ook een belangrijke gegevensvrager, bijvoorbeeld in het sociaal domein met de
uitvoering van de Participatiewet, de Wet Maatschappelijke Ondersteuning en de Wet
Gemeentelijke Schuldhulpverlening. In dit domein kan een betere gegevensuitwisseling – onder
regie van de burger – naar verwachting meerwaarde bieden voor burgers, gemeenten, organisaties
en de maatschappij.
Aanbeveling: Als de overheid zich positief uitspreekt over een afsprakenstelsel, dan is het van
belang dat de overheid ook actief gaat participeren in dit afsprakenstelsel (in de rollen van
toezichthouder, gegevenshouder en gegevensvrager).
18 Forum Standaardisatie (2016), Analyse van het afsprakenstelsel Qiy. Rapport van bevindingen. Dit is
overigens slechts één van de aanbevelingen uit dit rapport. 19 Innovalor & Newcom Research & Consultancy (2015), Nederlanders over Persoonlijke Data.
16
2.2 Projectbeschrijving praktijkbeproeving
Projectbeschrijving: Wie, wat, waar, wanneer, waarom, op welke wijze, met welke
middelen
In deze paragraaf is een beschrijving gemaakt van de praktijkbeproeving Regie op Gegevens in
Boxtel. Daarbij is gekeken naar de 7 w’s (wie, wat, waar, wanneer, waarom, op welke wijze en met
welke middelen). Na het lezen van deze paragraaf heeft de lezer een beeld van wat de
praktijkbeproeving met Regie op Gegevens inhoudt. Voor detailuitwerkingen wordt verwezen naar
hoofdstuk 3. Regie over Gegevens gaat erover dat burgers bepalen wie, wanneer tot welke van
hun gegevens toegang wordt verleend (ook wel: actieve regie) én dat burgers inzicht krijgen in wie
hun gegevens waarvoor heeft gebruikt (ook wel: passieve regie). In de praktijkbeproeving is een
uitwerking gemaakt hoe actieve regie vorm kan worden gegeven.
Regie op Gegevens gaat over het teruggeven van de regie aan mensen over hun eigen gegevens.
Zij zijn het middelpunt en bepalen wie, wanneer tot welke van hun gegevens toegang wordt
verleend én krijgen inzicht in wie hun gegevens waarvoor heeft gebruikt. ‘
Wie
Er waren veel verschillende partijen betrokken bij de praktijkbeproeving in Boxtel. Allereerst de
burger, die de regie op zijn eigen gegevens kreeg. Daarnaast waren betrokken: de gemeente
Boxtel (als gegevenshouder van de persoonsgegevens), Woonstichting St. Joseph (als
gegevensvrager of ontvanger van de persoonsgegevens), Qiy Foundation (die de rol van Scheme
Authority vervult en het Qiy Afsprakenstelsel in beheer heeft) en hun diverse leveranciers.
Bij de praktijkbeproeving waren de volgende softwareleveranciers betrokken:
• De gemeente Boxtel levert de NAW-gegevens. Daarvoor is de gemeente afhankelijk van
Key2Datadistributie van Centric.
• Digital Me levert de infrastructuur van het Qiy Trust Framework, dat zorgt voor de veilige
overdracht van gegevens tussen de Qiy nodes en de uitgifte van de Qiy pseudo-ID’s.
Daarnaast levert Digital Me de Dappre app, die is aangesloten op het Qiy Trust Framework.
• Wind Internet is verantwoordelijk voor het e-formulier op de website van de gemeente Boxtel
en verzorgt het inloggen via DigiD.
• Enable-U beheert de secure gateway in de demilitarized zone (DMZ20) van de gemeente Boxtel
en de servicebus binnen het gemeentelijk netwerk, waarover het berichtenverkeer tussen
Key2Datadistributie en de Qiy-nodes verzonden wordt.
• QVision beheert o.m. het inschrijfformulier voor Woonstichting St. Joseph. Bij de start van het
project was QVision betrokken bij de praktijkbeproeving. Gedurende de praktijkbeproeving is
er echter voor gekozen om met een acceptatieomgeving te gaan werken in plaats van met een
real life productieomgeving (vanwege budgettaire redenen en het ontbreken van
toekomstperspectief voor QVision van deze oplossing). Daarbij is er ook voor gekozen om met
een nagebouwd inschrijfformulier te werken in plaats van met het feitelijke inschrijfformulier
van de Woonstichting St. Joseph. Digital Me heeft dit inschrijfformulier gemaakt.
In de praktijkbeproeving is gebleken dat het onderscheid tussen Digital Me en de Qiy Foundation
als beheerder van de Qiy Afsprakenstelsel soms nog enigszins diffuus is. Voordat er aan
grootschalig gebruik van het Qiy Afsprakenstelsel kan worden gedacht, is het van belang dat de
governance van beide organisaties compleet los van elkaar komt te staan.
20 De DMZ is het netwerksegment tussen het interne netwerk en externe netwerk (meestal het internet).
17
Aanbeveling: Het is van belang dat de governance van het Qiy Afsprakenstelsel volledig
transparant is en los staat van de governance van partijen die aansluiten op het afsprakenstelsel
en commerciële initiatieven in de markt.
Wat
Het programma ‘Burgers en bedrijven in regie op hun gegevens’, kortweg Regie op Gegevens,
geïnitieerd door de ministeries van Binnenlandse Zaken en Economische Zaken, is bedoeld om
Persoonlijk Datamanagement (PDM) bij burgers en eindgebruikers te stimuleren. Door mee te
kijken met pilots en praktijkbeproevingen wil men ervaring opdoen met afsprakenstelsels en waar
mogelijk daaruit voortvloeiende beleidsvragen beantwoorden. De praktijkbeproeving bij gemeente
Boxtel en Woonstichting St. Joseph is een onderdeel van dit programma.
De gemeente Boxtel wil haar ingezetenen de mogelijkheid bieden om bepaalde persoonsgegevens
via een geautomatiseerd proces uit te wisselen met Woonstichting St. Joseph bij het inschrijven bij
de Woonstichting St. Joseph als woningzoekende. De burger wordt in staat gesteld om
toestemming te verlenen voor de levering van een beperkte set van persoonsgegevens (NAW-
gegevens) vanuit de gemeente Boxtel naar de Woonstichting St. Joseph.
Initieel is voor de praktijkbeproeving ook gekeken naar een koppeling met authentieke
inkomensgegevens vanuit de Belastingdienst, waarmee meteen aangegeven zou kunnen worden of
de woningzoekende voor de woning in aanmerking zou komen. Dit traject is vanuit de
Belastingdienst echter stilgezet om diverse interne redenen en complexiteit.
De burger maakt voor het verlenen van de toestemming voor de uitwisseling van de gegevens
gebruik van de Dappre app van het bedrijf Digital Me. Deze app maakt gebruik van de
infrastructuur van het Qiy Trust Framework om toestemmingen te administreren en gegevens uit
te wisselen. Voor iedere burger, en ook de gemeente Boxtel en de Woonstichting St. Joseph
worden in het Qiy Trust Framework zogenaamde ‘Qiy nodes’ aangemaakt ten behoeve van de
uitwisseling van gegevens. Deze nodes zijn de aansluitingen van de partijen op het netwerk.
Er is voor gekozen om de gegevensuitwisseling in een acceptatieomgeving met een testpanel van
burgers te beproeven. De praktijkbeproeving is geslaagd. De gebruikers hebben het hele
inschrijfproces kunnen afronden, waarbij de gegevensuitwisseling tot stand is gekomen.
Waar
De praktijkbeproeving is uitgevoerd in de gemeente Boxtel. Boxtel is sinds januari 2016 ambtelijk
gefuseerd met de gemeente Sint-Michielsgestel in de organisatie MijnGemeenteDichtbij, waardoor
in de praktijk projectleden uit beide gemeenten komen. In het testpanel zitten enkel burgers die
zijn ingeschreven in gemeente Boxtel.
18
Wanneer
De praktijkbeproeving is medio 2016 gestart en is in augustus 2017 afgerond. Er is veel tijd gaan
zitten in de voorbereidende fase: het betrekken van alle leveranciers, het bepalen wat te bouwen,
het regelen van capaciteit, budget en eigenaarschap. De doorlooptijd voor het bouwen van de
feitelijke oplossing voor de uitwisseling van de gegevens (acceptatieomgeving) was aanzienlijk
korter, namelijk enkele maanden.
De belangrijkste redenen van de redelijk lange doorlooptijd waren gelegen in het grote aantal
betrokken organisaties, onduidelijkheid over de te dragen kosten en andere zaken die meer
urgentie hadden dan de praktijkbeproeving van Regie op Gegevens. In de concept-greenpaper
Regie op gegevens? Durf te doen!21 is dit ook benoemd onder de noemer ‘Continuïteit wint het van
innovatie’. Dat hebben wij ook ervaren in deze praktijkbeproeving, al heeft deze praktijkbeproeving
uiteindelijk wel resultaat opgeleverd.
Aanbeveling: Bij de selectie van nieuwe pilots of praktijkbeproevingen is het aan te raden om te
streven naar beheersing van de complexiteit om daarmee de kans op succes te vergroten,
bijvoorbeeld door te starten met een beperkt aantal stakeholders en softwareleveranciers of door
te starten met een goed beheersbaar proces.
Waarom
In paragraaf 2.1.2 zijn op hoofdlijnen de doelen weergegeven van Regie op Gegevens (de burger
bepaalt, gemakkelijker voor de burger en betere kwaliteit van data). Vanwege deze redenen heeft
de gemeente Boxtel Regie op Gegevens opgenomen in haar beleidsprogramma.
Het doel van de praktijkbeproeving was om een werkende oplossing te maken om vanuit het
gemeentelijke domein de burger haar regie op eigen gegevens terug te geven. De
praktijkbeproeving in Boxtel is opgezet om te testen of de gegevensuitwisseling op basis van het
Qiy Afsprakenstelsel tot stand kon komen, hoe dit ingericht moest worden én om de ervaringen
van in het bijzonder burgers met Regie op Gegevens te testen.
Op welke wijze
Het proces van de inschrijving van een woningzoekende bij Woonstichting St. Joseph ziet er in de
proeftuin op hoofdlijnen als volgt uit:
1. De burger heeft het inschrijfformulier van Woonstichting St. Joseph voor zich;22
2. De burger maakt de connectie tussen de Dappre app en de woonstichting;
3. De burger geeft toestemming (via DigiD) aan gemeente Boxtel voor levering van de NAW-
gegevens;
4. De burger ziet deze gegevens op het inschrijfformulier van de woonstichting verschijnen
(achter de schermen worden de gegevens door Boxtel via de Qiy node van de burger geleverd
aan de woonstichting);
5. De burger vult overige gegevens in en sluit de inschrijving bij de woonstichting af.
21 Rijksoverheid (2017), Regie op Gegevens? Durf te doen! Concept-greenpaper t.b.v. werkconferentie Regie
op Gegevens 4 juli 2017. 22 Dit was overigens niet het echte inschrijfformulier. Het inschrijfformulier van de woonstichting is nagebouwd
en de praktijkbeproeving is uitgevoerd in een acceptatieomgeving.
19
In bijlage C zijn de voorbeelden van de verschillende schermen opgenomen die de burger ziet
tijdens het proces van de inschrijving.
Het gebruikte inschrijfformulier was vergelijkbaar met het huidige inschrijfformulier, dat een burger
nu digitaal in moet vullen om in te schrijven. In de huidige situatie moet de burger alle gegevens
zelf invullen op het formulier. In het huidige inschrijfformulier wordt de burger ook gevraagd om
het belastbaar inkomen van de hoofdwoningzoekende in te vullen en een inkomensverklaring als
bijlage toe te voegen. Deze gegevens staan op het inkomensformulier van de Belastingdienst,
vandaar dat initieel ook is gekeken naar een koppeling met authentieke inkomensgegevens vanuit
de Belastingdienst om deze stap voor de burger gemakkelijker te maken. Zoals eerder aangegeven
is dit traject vanuit de Belastingdienst echter stilgezet om diverse interne redenen en complexiteit.
Met welke middelen
Het opzetten en uitvoeren van deze praktijkbeproeving heeft relatief veel inzet van mensen en
middelen gekost. Er waren verschillende redenen waarom de kosten relatief hoog waren. Als eerste
waren er veel verschillende partijen betrokken bij de totstandkoming, hetgeen zorgt voor een
complexere afstemming en daarmee tot hogere kosten voor de afstemming.
Daarnaast is er in de praktijkbeproeving veel pionierswerk verricht, omdat de vertaling gemaakt
moest worden van het concept Regie op Gegevens naar een concrete praktijkbeproeving. Deels
hing dit ook samen met het ontbreken van duidelijke kaders en visie (zie ook de concept-
greenpaper Regie op gegevens? Durf te doen!23). Er waren daarom veel vragen en uitzoekpunten,
onder meer op het vlak van de privacy, gegevensuitwisseling, beveiliging, architectuur,
standaarden, etc. Zaken die éénmalig uitgezocht moesten worden. Ook voor komende
praktijkbeproevingen voorzien wij dat er nog veel pionierswerk moet worden verricht. Wij hebben
daarmee in de praktijkbeproeving ervaren dat vanwege al het pionierswerk er een ‘first-mover
disadvantage is’, een situatie die doorbroken moet worden, wil er serieus werk gemaakt worden
van Regie op Gegevens.
Aanbeveling: Er moet naast financiering door initiatiefnemers van nieuwe projecten ook generieke
financiering komen vanuit de Rijksoverheid voor pilots, proeftuinen en praktijkbeproevingen. Dit
omdat er veel pionierswerk moet worden verricht waar latere projecten hun voordeel mee kunnen
doen.
Vanzelfsprekend is het daarbij relevant om de opgedane kennis met elkaar te delen, zoals wij ook
met deze rapportage beogen. Er zijn veel initiatieven op het gebied van Regie op Gegevens en ook
bij het opstellen van deze rapportage is gebleken dat informatie, kennis en ervaringen op dit
moment nog niet goed ontsloten zijn.
23 Rijksoverheid (2017), Regie op Gegevens? Durf te doen! Concept-greenpaper t.b.v. werkconferentie Regie
op Gegevens 4 juli 2017.
20
Aanbeveling: Beschikbare informatie, kennis en ervaring over Regie op Gegevens moeten beter
toegankelijk worden gemaakt voor andere partijen die met Regie op Gegevens willen gaan werken.
Deze aanbeveling heeft overigens al navolging gekregen in het programmavoorstel24 voor Regie op
Gegevens, waarbij community learning één van de programmalijnen is.
2.3 Stand van zaken in Nederland
2.3.1. Bestaande initiatieven
Er zijn op dit moment nog geen gemeenten die met Regie op Gegevens werken. De gemeente
Boxtel is de eerste gemeente geweest in Nederland waar het concept Regie op Gegevens in de
praktijk is beproefd. Er zijn wel verschillende gemeentelijke initiatieven (allen nog in de planfase).
Hieronder presenteren wij deze plannen evenals enkele gedachten en suggesties die in de
gesprekken tijdens het onderzoek naar voren zijn gebracht. Deze zijn vooral ter illustratie van de
mogelijkheden waarbij regie op gegevens een rol zou kunnen spelen.
Op dit moment zijn wij de volgende initiatieven tegengekomen, waarbij gemeenten betrokken zijn:
• Een hypotheek binnen 1 uur – Almere & Regiegroep Doorbraken WOZ & Vastgoed
De burger krijgt regie over al zijn relevante gegevens voor het aanvragen van een hypotheek
bij de bank (persoonsgegevens, inkomensgegevens, gegevens waarde woning, etc.). De
streefsituatie is dat het offerteproces van hypotheken langs digitale weg zodanig wordt
versneld dat het financieel voorbehoud bij woningaankopen kan vervallen.
• Mijn App - Eindhoven
Iedere inwoner, ondernemer en/of organisatie krijgt een digitale gemeente app. Deze app is
aantrekkelijk vormgegeven en zorgt ervoor dat er op een makkelijke en toegankelijke manier
met de gemeente en andere partners gecommuniceerd kan worden. Een inwoner kan vanuit
zijn app zelf zijn dossier vormgeven en heeft toegang tot zijn eigen gegevens die bij de
gemeente en andere aangesloten partijen bekend zijn. Zo wordt hij eigenaar van zijn eigen
gegevens en blijft hij eigenaar van zijn eigen data. Iedere inwoner kan vanuit eigen regie
bepalen met wie hij op welk moment, welke informatie wil delen.
• Financieel paspoort – Stichting Financieel Paspoort
Een overzicht van je financiën moet makkelijk en snel kunnen worden verkregen. In het
Financieel Paspoort worden je gegevens overzichtelijk weergegeven. Het Financieel Paspoort
bevat jouw gegevens en gaat over jouw financiële situatie. De missie van het Financieel
Paspoort is om mensen in staat te stellen hun eigen geldzaken te regelen.25
In aanvulling daarop zijn in de interviews voor dit onderzoek de volgende suggesties gedeeld, die
mogelijk interessant zijn om verder te verkennen.
24 Programma Regie op Gegevens (2017), Regie op gegevens? Aan de slag! Meer Waarde, voor iedereen.
Programmavoorstel 2018-2021. 25 http://www.financieelpaspoort.nl/.
21
• Sociaal domein / zorgdomein
In veel van de gesprekken zijn het sociaal domein en het zorgdomein genoemd als interessante
domeinen, waar het meerwaarde heeft voor burgers om de regie over hun eigen gegevens te
kunnen voeren. Op dit moment komt het nog regelmatig voor dat burgers gegevens meerdere
keren aan moeten leveren. Recent is de studie Regeldruk in het toegangsproces tot het sociale
domein26 uitgekomen en de ACTAL (als opdrachtgever) heeft hierin verschillende suggesties
gedaan om de regeldruk te verminderen, waarbij regie op gegevens meerwaarde zou kunnen
bieden. In de gesprekken zijn ook concrete voorbeelden genoemd met betrekking tot
gegevensuitwisseling bij de eerste intake en de vervolgintake voor de WMO en met betrekking
tot het opnieuw aanvragen van een WMO bij een verhuizing naar een andere gemeente.
• Schuldhulpverlening
In 2016 heeft KING samen met Alphen aan
den Rijn een klantreis gemaakt voor hulp bij
schulden. Eén van de dips in de klantreis zat
in de stap van het verzamelen van de
gegevens over de schulden. Nu moet de
burger al zijn schuldeisers (veelal
overheden) bellen en mailen om de hoogte
van de schulden in beeld te krijgen. Via
regie op gegevens zou dit gemakkelijker (en
logischer voor de klant) georganiseerd
kunnen worden.27
• Life events
Daarnaast werden er in de gesprekken met gemeenten nog enkele life events genoemd,
waarbij het mogelijk interessant is om de burger regie op zijn gegevens te geven. Te denken
valt aan het bereiken van de leeftijd van 18 jaar. Dat is een moment waarop burgers mogelijk
redelijk veel moeten regelen (denk bv. aan een zorgverzekering, zorgtoeslag,
studiefinanciering). Regie op gegevens zou hier meerwaarde kunnen hebben.
2.3.2. Alternatieven
Om de meerwaarde van Regie op Gegevens beter te kunnen duiden is het van belang om wat
dieper in te gaan op de wijze waarop overheden op dit moment gegevens verzamelen en
uitwisselen. Dat geeft ook richting aan een belangrijk alternatief voor Regie op Gegevens. Merk
daarbij op: het gaat hier om een alternatief voor de actieve Regie op Gegevens, waarbij burgers
bepalen wie, wanneer tot welke van hun gegevens toegang wordt verleend. Het onderstaande
alternatief draagt er niet aan bij dat burgers beter inzicht krijgen in wie hun gegevens waarvoor
heeft gebruikt (en dus transparantie en controleerbaarheid).
In de volgende figuur is voor verschillende typen gegevens aangegeven hoe de huidige
gegevensuitwisseling er uit ziet.
26 Berenschot (2016), Regeldruk in het toegangsproces tot het sociale domein. 27 Hier ligt een aansluiting met het Financieel Paspoort voor de hand.
22
Gegevens en gegevensuitwisseling
In de figuur is een onderscheid gemaakt tussen binnengemeentelijke gegevensuitwisseling,
gegevensuitwisseling binnen de overheid (gemeenten & andere overheden) en tussen gemeenten
en andere organisaties (zoals bv. een woonstichting). Tevens is onderscheid gemaakt naar drie
typen gegevens: gegevens uit de basisregistraties, gegevens met doelbinding en gegevens zonder
doelbinding. Actieve Regie op Gegevens heeft in het bijzonder meerwaarde in die gevallen dat een
overheid of een organisatie nu gegevens aan een burger moet vragen (de groene vakken in de
figuur). Als een overheid namelijk een gegeven verplicht moet gebruiken, dan heeft het minder
toegevoegde waarde om eerst ‘toestemming’ aan de burger te vragen voor het gebruik van dat
gegeven. De overheid valt de burger dan onnodig lastig. Bij gegevens die verplicht moeten worden
gebruikt is het (vanuit de klantreis van de burger gezien) dan beter om bijvoorbeeld met
vooringevulde informatie te werken. Vanzelfsprekend is het dan wel relevant dat de burger weet
om welke gegevens het gaat en waar deze gegevens vandaan komen (compliant met de AVG).28
Als het evident is dat een burger bepaalde gegevens moet aanleveren én als deze gegevens reeds
beschikbaar zijn binnen de overheid, dan kan het dus ook een alternatief zijn om deze
gegevensuitwisseling via wet- en regelgeving te organiseren.
2.3.3. Redenen waarom gemeenten nog niet werken met Regie op Gegevens
Er zijn verschillende redenen waarom gemeenten nog niet werken met Regie op Gegevens.
Belangrijke redenen hiervoor zijn in paragraaf 2.1.3. beschreven (kip-ei probleem, beperkte
voordelen, relatief hoge ontwikkelkosten).
28 Gegevensuitwisseling via een afsprakenstelsel kan wel bijdragen aan meer transparantie voor en betere
controleerbaarheid door de burger (passieve Regie op Gegevens).
23
Daar komt bij dat Regie op Gegevens alleen een succes kan worden als de gehele overheid zich
uitspreekt over Regie op Gegevens en over het te gebruiken afsprakenstelsel. Dat wordt ook
aangestipt in de concept-greenpaper Regie op gegevens? Durf te doen!29 met de constatering “Als
de overheid niet werkelijk meedoet, is échte PDM niet mogelijk.” Het is wenselijk een
centrale visie en beleid te ontwikkelen ten aanzien van de toepassing van het Qiy Afsprakenstelsel.
Dit om een wildgroei aan (verschillende) implementaties binnen het overheidslandschap te
voorkomen. Daarbij is het ook relevant dat er meer duidelijkheid komt over de kaders en het
afsprakenstelsel. Tot die tijd is het gemeenten aan te raden om het onderwerp Regie op Gegevens
nog met enige terughoudendheid te benaderen.
Aanbeveling: Het is belangrijk dat de Rijksoverheid zich positief uitspreekt over Persoonlijk
Datamanagement / Regie op Gegevens. Daarbij moet de Rijksoverheid ook duidelijk aangeven wat
de kaders en uitgangspunten zijn waaraan een afsprakenstelsel moet voldoen. Een centrale visie
en een duidelijk beleidsstandpunt zijn gewenst en het zou helpen als het kabinet hier een duidelijk
standpunt over inneemt.
In het najaar van 2017 is hier een belangrijke stap gezet en in het Regeerakkoord Rutte III is de
volgende passage opgenomen over Regie op Gegevens:30
“Ter bevordering van de privacy wordt de eigen regie op persoonsgegevens vergroot. Gebruikers van
overheidsdiensten krijgen de mogelijkheid zelf maatschappelijk relevante instanties en organisaties aan te
wijzen waaraan een beperkt aantal persoonsgegevens automatisch kan worden verstrekt. …”
Het is belangrijk dat er vanuit de Rijksoverheid ruimte wordt gemaakt het concept concreet te
maken voor gemeenten. Vanuit het programma ‘Burgers en Bedrijven in Regie op Hun gegevens’ is
deze ambitie er zeker, maar daarnaast is tevens budget, juridische experimenteerruimte én een
duidelijk beleidsstandpunt nodig. De randvoorwaarden moeten dus beduidend beter worden
ingevuld om een succesvol vervolg mogelijk te kunnen maken. Om een concreet voorbeeld te
noemen: de deelnemers aan de pilot in Boxtel hebben zelf grotendeels de technische
koppelvlakken, die ontwikkeld zijn, gefinancierd. Vanuit KING moesten al deze partijen
gemotiveerd, gestimuleerd en overtuigd worden om deel te nemen. Dit kan eenvoudiger door
generieke financiering.
Aanbeveling: Het is van belang dat er voldoende bestuurlijke, procesmatige en financiële
experimenteerruimte is voor het beproeven van nieuwe initiatieven op het gebied van Regie op
Gegevens.
29 Rijksoverheid (2017), Regie op Gegevens? Durf te doen! Concept-greenpaper t.b.v. werkconferentie Regie
op Gegevens 4 juli 2017. 30 Hier is een belangrijke stap gezet, in het regeerakkoord ‘Vertrouwen in de toekomst’ van Rutte III is een
passage opgenomen over regie op gegevens.
24
Ervaringen met de praktijkbeproeving in Boxtel hebben verschillende risico’s aan het licht gebracht,
die – mits er geen mitigerende acties op worden ondernomen – ervoor kunnen zorgen dat
projecten met Regie op Gegevens niet of moeizamer tot stand komen. De volgende risico’s zijn
tijdens de uitvoering van de praktijkbeproeving geïdentificeerd:
• Niet alle partijen hadden hetzelfde belang en dezelfde prioriteit bij het project, waardoor
doorlooptijden lang zijn. Dit speelde in het bijzonder bij het bereiken van overeenstemming
over werkverdeling en te dragen kosten. Er waren verschillende afstemmomenten nodig met
alle partijen om tot overeenstemming te komen.
• Er waren regelmatig wisselingen in de contacten en betrokkenheid op uitvoerend niveau.
Daarbij speelde ook mee dat er recentelijk een ambtelijke fusie is geweest van de gemeente
Boxtel en Sint-Michielgestel in MijnGemeenteDichtbij, waardoor de organisatie zich nog moest
zetten. Het was belangrijk dat het project Regie op Gegevens een plek kreeg in één van de
programma’s binnen de gemeente.
• De ontwikkelcapaciteit van Digital Me was soms beperkt. Dat heeft impact gehad op de
doorlooptijd.
• De functionaliteiten van het te ontwikkelen Proof of Concept zijn beperkt, waardoor voordelen
beperkt zichtbaar werden. Ook bleken verwachtingen ten aanzien van het resultaat niet voor
iedereen gelijk.
• Bij de start van de praktijkbeproeving werd veel (vooral theoretische, conceptuele) informatie
verstrekt. Er ontbrak nog wel informatie over de technische infrastructuur (de aansluiting
tussen de theorie en de praktijk). Bij de start werd de suggestie gewekt dat deze informatie
beschikbaar was, wat niet het geval bleek te zijn. Goede en praktische informatie over de
technische infrastructuur (de praktische uitwerking van het concept naar een project) is
belangrijk.
• Het is belangrijk dat niet alleen de informatiemanagers betrokken zijn bij het project, maar
ook de business (dienstverlenende afdelingen) om zo de aansluiting bij de klant te houden.
25
3 Technische beschrijving praktijkbeproeving
In dit hoofdstuk is een meer technische beschrijving gemaakt van de praktijkbeproeving. In de
eerste paragraaf is een nadere uitwerking gemaakt van de architectuur, waarbij achtereenvolgens
is gekeken naar de bedrijfsarchitectuur, informatiearchitectuur en technische architectuur. In de
tweede paragraaf zijn de resultaten van de Baseline Informatietoets Nederlandse Gemeenten (BIG)
opgenomen.
3.1 Architectuur
In deze paragraaf is een uitwerking gemaakt van de bedrijfsarchitectuur (in het bijzonder de
processen), informatiearchitectuur (in het bijzonder de gegevens) en technische architectuur (in
het bijzonder de technische componenten) van de praktijkbeproeving. Hierbij hebben wij het
raamwerk (de vragen) uit de BIG Baselinetoets als basis genomen voor de opbouw van deze
paragraaf.
Het navolgende is een eerste schets van enkele elementen van de architectuur voor de
praktijkbeproeving in Boxtel. Vandaar ook de onderstaande aanbeveling.
Aanbeveling: Het is aan te raden dat er een nadere uitwerking wordt gemaakt van de GEMMA
architectuur (bedrijfsarchitectuur, informatiearchitectuur en technische architectuur) van Regie op
Gegevens.
Wij sluiten deze paragraaf af met een korte toelichting op Common Ground. Common ground
bekijkt de opgave tot Samen Organiseren vanuit een meer informatiekundige invalshoek.
3.1.1. Architectuur praktijkbeproeving
In deze paragraaf is een uitwerking gemaakt van de architectuur van de praktijkbeproeving.31
Geef een bondige beschrijving van het proces / processen en benoem de proceseigenaar
De hoofdprocessen in de keten zijn:
• De burger opent formulier Woonstichting St. Joseph
De burger heeft op de laptop / PC het inschrijfformulier van de Woonstichting St. Joseph voor
zich.
• Verbinden met St. Joseph
De burger gebruikt de Dappre app om op de website van de Woonstichting St. Joseph de QR-
code van Woonstichting St. Joseph te scannen. Daarmee legt de burger de connectie tussen
het formulier van de Woonstichting St. Joseph en de Dappre app.
• Toestemming geven aan de gemeente Boxtel voor levering gegevens
De burger wordt door Woonstichting St. Joseph doorgestuurd naar een toestemmingsformulier
van gemeente Boxtel. Op dit formulier kan de burger, na aanmelding via DigiD, toestemming
geven aan gemeente Boxtel om haar NAW-gegevens te leveren via het Qiy Trust Framework.
31 Hierbij is aangesloten bij de vragen uit hoofdstuk 4 ‘Vragenlijst proces’ van de Baselinetoets. Zie: KING
(2014), Baselinetoets. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
26
• Aanroepen service levering gegevens
Nadat deze toestemming is verleend, wordt door het formulier een service van de gemeente
Boxtel aangeroepen, waaraan de combinatie van Qiy-pseudo-ID van Woonstichting St. Joseph
en burgerservicenummer (BSN) van de burger worden meegegeven (voor het aanroepen van
de service ‘Levering van gegevens door de gemeente Boxtel’ van de gemeente Boxtel). Het
BSN wordt vervolgens gebruikt in een bevraging van het gegevensdistributiesysteem van de
gemeente Boxtel.
• Levering van gegevens door de gemeente Boxtel
Het resultaat van deze bevraging (= de NAW-gegevens) wordt door het Qiy Trust Framework
gerouteerd naar de Woonstichting St. Joseph.32 De burger ziet de gegevens uit de gemeente
Boxtel verschijnen in het inschrijfformulier van de Woonstichting St. Joseph.
• Invullen overige gegevens door de burger
Vervolgens worden de overige gegevens door de burger ingevuld in het inschrijfformulier.
In de volgende figuur is een uitwerking gemaakt van de Proof of Concept voor de proeftuin in
Boxtel, waarin is uitgewerkt hoe de gegevensuitwisseling tot stand komt.
32 In de uiteindelijke opzet van de praktijkbeproeving was er geen feitelijke gegevensuitwisseling met de
Woonstichting St. Joseph, maar zijn deze gegevens geleverd naar de acceptatieomgeving (waar de informatie werd ingelezen in het nagebouwde inschrijfformulier van de Woonstichting St. Joseph).
27
Proof of Concept proeftuin Regie op Gegevens Boxtel33
Maakt het proces / de processen deel uit van een keten / meerdere ketens? Zo ja,
beschrijf de keten / ketens
Het proces van de levering van persoonsgegevens door de gemeente Boxtel aan Woonstichting St.
Joseph maakt deel uit van het proces van inschrijven als woningzoekende door een inwoner van de
gemeente Boxtel bij Woonstichting St. Joseph. Tijdens dit proces worden, indien de burger hiertoe
toestemming heeft gegeven, de NAW-gegevens van de burger via het Qiy Trust Framework
geleverd door de gemeente Boxtel.
Welke eventuele subprocessen zijn te onderscheiden? Welke hoofdactiviteiten worden
binnen het proces uitgevoerd en wie doen dat?
Er zijn voor de proeftuin twee subprocessen uitgeschreven. Deze zijn ‘connectie maken’ en
‘gegevens uitwisselen’. Hieronder zijn de figuren opgenomen, waarin deze subprocessen zijn
uitgetekend. Deze subprocessen zijn uiteindelijk niet als zodanig in de proeftuin uitgevoerd, maar
deze geven mogelijk wel interessante aanknopingspunten voor toekomstige proeftuinen, vandaar
dat wij ze in deze rapportage hebben opgenomen.
33 Het toestemmingsproces met de Dappre app is niet opgenomen in deze PoC.
28
Subproces ‘Connectie maken’
Subproces ‘Gegevensuitwisseling’
Beschrijf welke afnemers het proces heeft. Welke producten nemen zij af en welke
kwaliteitseisen stellen zij aan deze producten?
De Woonstichting St. Joseph is afnemer van persoonsgegevens die door de gemeente Boxtel
worden geleverd op basis van toestemming van een woningzoekende.
29
De onderstaande gegevens worden door de Woonstichting St. Joseph afgenomen:
• Voornamen;
• Voorletters;
• Adellijke titel / predikaat;
• Voorvoegsel geslachtsnaam;
• Geslachtsnaam;
• Geslachtsaanduiding;
• Opgemaakte naam;
• Aanduiding naamgebruik;
• Straatnaam;
• Huisletter;
• Huisnummer;
• Huisnummertoevoeging;
• Postcode;
• Identificatie woonplaats;
• Woonplaatsnaam;
• Openbare ruimte naam;
• Woonplaatsnaam NEN.
Aandachtspunt bij de levering van de gegevens aan de Woonstichting St. Joseph is de volgende. In
de praktijkbeproeving krijgt de burger een scherm voor zich met de boodschap ‘Deze gegevens
kan de gemeente Boxtel u ter beschikking stellen:’
• Naam (zijnde: voorletters + voorvoegsel geslachtsnaam + geslachtsnaam);
• Adres;
• Postcode / woonplaats;
• Geslacht.
Uit beide lijsten met gegevens (voor organisaties en voor burgers) komen enkele relevante
verschillen naar voren. Allereerst is de semantiek anders (een burger spreekt bijvoorbeeld niet
over geslachtsnaam, maar over achternaam), daarnaast is het detailniveau van de gegevens
anders (de naam van een persoon bestaat uit veel verschillende deelgegevens). Het is aan te
raden om hier te gaan werken met een hoger abstractieniveau dan het attribuutniveau,
bijvoorbeeld vergelijkbaar met de BRP-objecttypen van persoonsgegevens. Daarmee wordt er ook
een voor de burger wat logischer niveau gekozen en wordt aangesloten bij de aanbevelingen op
het gebied van privacy en logging. Dit zou er dan bijvoorbeeld als volgt uit kunnen zien:34
• Persoon (zijnde: voorletters + voorvoegsel geslachtsnaam + geslachtsnaam);
• Adres (zijnde: straatnaam + huisletter + huisnummer + huisnummertoevoeging + postcode +
woonplaatsnaam).
Door burgers wordt toestemming gegeven voor de uitwisseling van gegevens op basis van een
zogenaamde ‘claimset’. Een claimset is een set van gegevens die uniek identificeerbaar is binnen
het afsprakenstelsel. Nadere afspraken moeten worden gemaakt ten aanzien van het vaststellen
van de inhoud en naamgeving van claimsets en attributen binnen claimsets. Dat kan bijdragen aan
verdere standaardisatie van de claimsets. Mogelijk kan de Stelselcatalogus35 hierin een rol
vervullen bij een eventuele brede inzet van Qiy binnen de overheid.
34 Andere BRP-objecttypen zijn: relatie en betrokkenheid, nationaliteit en reisdocument. 35 In de Stelselcatalogus zijn de in basisregistraties opgenomen begrippen in onderlinge samenhang
vastgelegd.
30
Aanbeveling: Het is van belang om een nadere uitwerking en nadere afspraken te maken ten
aanzien van de inhoud en naamgeving van claimsets en attributen binnen claimsets. Het is daarbij
ook interessant om te onderzoeken of en hoe de Stelselcatalogus daarin een rol kan vervullen.
Woonstichting St. Joseph gebruikt de gegevens bij de inschrijving van een woningzoekende. De
gegevens, die van de gemeente Boxtel worden ontvangen, kunnen door de burger niet aangepast
worden. Het is van belang dat de gegevens, die door de gemeente Boxtel worden verstrekt, correct
zijn. Er worden in de praktijkbeproeving geen BSN of andere bijzondere persoonsgegevens
doorgegeven aan de Woonstichting St. Joseph. Binnen het Qiy Trust Framework wordt alleen
gewerkt met Qiy node ID’s van het Qiy Trust Framework, het BSN is niet bekend binnen het Qiy
Trust Framework36. Het BSN wordt overgedragen van Wind Internet, waar de DigiD authenticatie
plaats vindt, naar de gemeente via de Enable-U programmatuur. De gemeente gebruikt in de Proof
of Concept het BSN om de gegevens uit hun GBA/Gegevensmagazijn te lezen en stuurt vervolgens
de gegevens zonder het BSN via het Qiy Trust Framework naar de woonstichting. In de aanroep
vanuit Wind Internet krijgt de gemeente het adres binnen het Qiy Trust Framework mee van de
woonstichting.
De gegevensuitwisseling tussen de gemeente Boxtel en de Woonstichting St. Joseph is in de
praktijkbeproeving geslaagd.37 De betrokken leveranciers hebben daarbij aangegeven dat de
techniek het probleem niet was.
Beschrijf welke leveranciers het proces heeft. Welke producten leveren zij aan en welke
eisen stellen zij aan de verwerking in het te onderzoeken proces?
• De gemeente Boxtel levert de NAW-gegevens. Daarvoor is de gemeente afhankelijk van
Key2Datadistributie van Centric.
• Digital Me levert de infrastructuur van het Qiy Trust Framework, dat zorgt voor de veilige
overdracht van gegevens tussen de Qiy nodes en de uitgifte van de Qiy pseudo-ID’s.
Daarnaast levert Digital Me de Dappre app, die is aangesloten op het Qiy Trust Framework.
• Wind Internet is verantwoordelijk voor het e-formulier op de website van de gemeente Boxtel
en verzorgt het inloggen via DigiD.
• Enable-U beheert de secure gateway in de demilitarized zone (DMZ) van de gemeente Boxtel
en de servicebus binnen het gemeentelijk netwerk, waarover het berichtenverkeer tussen
Key2Datadistributie en de Qiy nodes verzonden wordt.
36 Er wordt dus geen BSN verstrekt aan Dappre. 37 Binnen het Qiy Trust Framework kunnen gegevens worden uitgewisseld via de Qiy node van de burger of
rechtstreeks onder regie van de burger. In deze proeftuin is er uit praktische overwegingen niet voor gekozen om de gegevensuitwisseling via de Qiy node te laten verlopen, maar is gekozen voor een directe gegevensuitwisseling tussen de gegevenshouder en de gegevensvrager onder regie van het individu.
31
Welke wet- en regelgeving is van toepassing op dit proces en welke specifieke eisen
komen hieruit naar voren?
Op de uitwisseling van de gegevens tussen de gemeente Boxtel en Woonstichting St. Joseph is de
onderstaande wet- en regelgeving op het gebied van informatiebeveiliging en privacy van
toepassing:
• Wet Basisregistratie Persoonsgegevens (Wet BRP);
• Wet Bescherming Persoonsgegevens (WBP);
• Algemene verordening gegevensbescherming (AVG);
• Wet Elektronisch Berichtenverkeer (Wet EBV);
• eIDAS-verordening.
Door welke informatievoorziening wordt het proces ondersteund?
Vanuit een formulier op de website van de gemeente Boxtel kunnen burgers toestemming geven
voor het leveren van NAW-gegevens aan de Woonstichting St. Joseph. De NAW-gegevens worden
door gemeente Boxtel betrokken uit het gemeentelijke gegevensdistributiesysteem.
Bij gemeente Boxtel wordt gebruik gemaakt van een secure gateway in de DMZ, die de vraag om
NAW-gegevens vanuit het toestemmingsformulier ontvangt. De gateway geeft de vraag door aan
het servicebus-systeem van gemeente Boxtel. De servicebus stelt op basis van de ontvangen BSN
een StUF-vraag samen en routeert deze naar het gegevensdistributiesysteem van de gemeente
Boxtel. Het antwoord op de vraag aan het gegevensdistributiesysteem wordt via de servicebus
gerouteerd naar het Qiy Trust Framework.
Eigenaar informatiesysteem
Onderstaand is aangegeven wie de eigenaren zijn van de verschillende elementen van het
informatiesysteem:
• Dappre App - Digital Me
• Qiy Trust Framework - Digital Me
• Qiy Afsprakenstelsel - Qiy Foundation
• 2Secure gateway - Enable-U
• 2Orchestrate ESB - Enable-U
• e-Formulier (inschrijfformulier) - Wind Internet
• Key2Datadistributie - Centric
Technische schaalbaarheid
Een belangrijke vraag uit het opschalingskader (zie paragraaf 1.3.2) is in hoeverre de oplossing
technisch schaalbaar is. Uit de praktijkbeproeving is gebleken dat het technisch gezien goed
mogelijk is om de gegevensuitwisseling tot stand te brengen. Voor de uitwisseling van de gegevens
tussen de gemeente en de woonstichting is gebruik gemaakt van StUF-BG38 berichten. Dit
koppelvlak kan enkel gebruikt worden voor de uitwisseling van basisgegevens, die zijn opgenomen
in het RSGB (gegevens uit de basisregistraties die voor gemeenten van belang zijn). Dit is geen
generiek koppelvlak.
38 StUF-BG staat voor Standaard Uitwisselings Formaat Basis Gegevens en is de berichtenstandaard voor de
uitwisseling van basis- en kerngegevens die zijn beschreven in het Referentiemodel Stelsel Gemeentelijke Basisgegevens (RSGB).
32
Bij het breder uitrollen van deze oplossing ontstaat mogelijk de situatie dat 388 individuele
gemeenten aangesloten moeten worden op het Qiy netwerk. Gezien het aantal gemeenten en het
complexe IT- en leverancierslandschap bij gemeenten zou dit voorkomen moeten worden, omdat
dit naar verwachting zal leiden tot een complexe en kostbare implementatie. Het is daarom
gewenst om te onderzoeken of hier gebruik gemaakt kan worden van de landelijke voorzieningen
van de basisregistraties (bv. GBA-V, LV BAG, LV WOZ, etc.), koppelnetwerken zoals bv. RINIS en
Suwinet of van MijnOverheid.39 Dit kan sterk bijdragen aan de technische schaalbaarheid van de
oplossing. Merk daarbij ook op, Regie op Gegevens met gegevens uit de basisregistraties is vooral
interessant voor organisaties (maatschappelijke organisaties, bedrijven) die nu nog geen gebruik
mogen maken van gegevens uit de basisregistraties (zie ook paragraaf 2.3.2).
Aanbeveling: Er moet onderzocht worden of, en tegen welke kosten, gebruik gemaakt kan
worden van landelijke voorzieningen van de basisregistraties (bv. GBA-V, LV BAG, LV WOZ, etc.),
koppelnetwerken zoals bv. RINIS en Suwinet of MijnOverheid als basis (bron) voor de
gegevensuitwisseling bij Regie op Gegevens.
Voor gegevens, die niet zijn opgenomen in de landelijke voorzieningen, lijkt maatwerk nodig te
zijn. Op dit moment zijn er nog geen concrete voorbeelden welke andere gegevensuitwisselingen
interessant zijn, vandaar dat de vraag over technische opschaling daarvan nog niet relevant is.
3.1.2. Common Ground
Common Ground is een initiatief om van onder af te harmoniseren door het gezamenlijk realiseren
van een digitaal platform waar tal van basisvoorzieningen collectief geregeld zijn (data, beveiliging,
toegang, etc.) waarop gemeenten (binnen een aantal condities) hun eigen procesapplicaties en
inrichtingen kunnen ‘inprikken’. Een belangrijk onderdeel van het Common Ground initiatief is het
standaardiseren van basis- en sectorale gegevens en het ontsluiten van deze gegevens via
gestandaardiseerde API’s. Gebruik van de API’s door procesapplicaties wordt verleend indien
daarvoor een wettelijk kader of een door de burger afgegeven toestemming is.
De raakvlakken tussen het Qiy Afsprakenstelsel en Common Ground liggen enerzijds op het vlak
van het afgeven van toestemmingen door de burger en de ideeën binnen Common Ground op het
gebied van autorisatie van gegevensuitwisselingen. Anderzijds ligt er een duidelijke link op het
gebied van het standaardiseren van de gegevensuitwisselingen via API’s. In het voorliggende
rapport is aangegeven dat standaardisatie van gegevensuitwisseling vereist is. Die standaardisatie
wordt binnen Common Ground opgepakt. Daarnaast is een doelstelling van Common Ground om de
verwerkingsgronden voor gegevens (doelbindingen) te standaardiseren. Deze gestandaardiseerde
doelbindingen kunnen 1 op 1 vertaald worden naar mogelijke toestemmingen en claimsets binnen
het Qiy Afsprakenstelsel.
39 Die rol valt overigens buiten de huidige positionering van MijnOverheid en zou dus vragen om een
herpositionering van MijnOverheid binnen de GDI.
33
3.2 Baseline Informatiebeveiliging Nederlandse Gemeenten
In deze paragraaf zijn de resultaten van de toets op de Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG) opgenomen die in de periode van mei tot en met juni 2017 is uitgevoerd40 voor
de praktijkbeproeving van Regie op Gegevens in Boxtel.
Het bepalen van het belang van het proces (en de ondersteunende systemen) gebeurt door na te
gaan hoe groot de schade is die kan ontstaan als het betreffende betrouwbaarheidsaspect
(beschikbaarheid, integriteit of vertrouwelijkheid) niet in orde is. Het toekennen van waarden (per
betrouwbaarheidsaspect) is specifiek voor de dienst en / of het betreffende
verantwoordelijkheidsgebied.
Deze baselinetoets is uitgevoerd voor de gemeente Boxtel met als doel om vast te stellen of de
praktijkbeproeving met de Woonstichting St. Joseph voor Regie op Gegevens voldoende wordt
beveiligd door de BIG beveiligingsmaatregelen of dat aanvullende beveiligingsmaatregelen
noodzakelijk zijn. Er is expliciet gekozen om de BIG op de scope van de praktijkbeproeving uit te
voeren en om eventuele uitbreidingen op de dienstverlening of de uit te wisselen gegevens
(claimsets) niet mee te nemen. Op het moment dat er sprake is van uitbreiding van de
dienstverlening of claimsets, is het nodig om de baselinetoets BIG opnieuw uit te voeren, inclusief
een eventueel aanvullende risicoanalyse, om te bepalen welke aanvullende
beveiligingsmaatregelen nodig zijn.
De detailresultaten van de baselinetoets op de BIG zijn opgenomen in bijlage D. In het vervolg van
deze paragraaf zijn alleen de resultaten op hoofdlijnen opgenomen.
3.2.1. Analyse beschikbaarheid, integriteit en vertrouwelijkheid
Het beschermingsniveau van data wordt uitgedrukt in classificatieniveaus voor beschikbaarheid,
integriteit en vertrouwelijkheid van informatie:41
• Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden.
De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel.
• Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten
onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid).
De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut.
• Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen,
vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden.
De onderscheiden niveaus zijn: openbaar, bedrijfsvertrouwelijk, vertrouwelijk en geheim.
In de volgende tabel zijn de resultaten op het gebied van beschikbaarheid, vertrouwelijkheid en
integriteit opgenomen.
40 De baselinetoets op de BIG is uitgevoerd door Boudewijn Cremers en Arnoud Quanjer (beiden KING) in
samenwerking met Frans Ruijs (MijnGemeenteDichtbij), Peter Wunderink (MijnGemeenteDichtbij) en Gerard Clerx (Woonstichting St. Joseph).
41 Zie KING (2016), Handreiking Dataclassificatie. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
34
Resultaten analyse beschikbaarheid, integriteit en vertrouwelijkheid
Achtergrond-
kenmerken
Score Aantal score boven de
baseline norm
Focus risicoanalyse
Beschikbaarheid 1 0 keer hoger dan 1 hoger dan 8 focus op beschikbaarheid
Integriteit 5 0 keer hoger dan 2 hoger dan 14 focus op integriteit
Vertrouwelijkheid 5 1 keer hoger dan 2 hoger dan 14 focus op vertrouwelijkheid
Totaalscore 11
a) Bij beschikbaarheid is aangeven of- en hoe vaak er hoger is gescoord dan een 1 (een 2 of hoger).
b) Bij integriteit is aangeven of- en hoe vaak er hoger is gescoord dan een 2 (dat is een 3).
c) Bij vertrouwelijkheid aangeven of en hoe vaak er hoger is gescoord dan een 2 (dat is een 3).
De totaalscore geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces
en of deze wel of niet binnen de baseline vallen. De scores uit de baseline toets zijn:
• Beschikbaarheid: score 1 scores van 8 of minder vallen binnen de baseline
• Integriteit: score 5 scores van 14 of minder vallen binnen de baseline
• Vertrouwelijkheid: score 5 scores van 14 of minder vallen binnen de baseline
De praktijkbeproeving voor Regie op Gegevens in de gemeente Boxtel met de Woonstichting St.
Joseph scoort binnen de Baseline Informatiebeveiliging Nederlandse Gemeenten.
Op basis van de overall scores vallen de resultaten binnen de baseline. In de toelichting staat
echter ook dat als op een individuele vraag voor beschikbaarheid een 2 of hoger gescoord wordt of
als voor vertrouwelijkheid, integriteit of privacy een 3 wordt gescoord, de score buiten de baseline
valt. Volgens de methodiek van de baselinetoets moet je dan een aanvullende diepgaande
risicoanalyse doen.
3.2.2. Analyse privacy
In de volgende tabel zijn de resultaten opgenomen van de analyse van de privacy.
Resultaten analyse privacy
Achtergrond-kenmerken Score Aantal scores 3
Persoonsgegevens 5 0
Verwerking persoonsgegevens 6 2
Totaalscore 11
De totaalscore geeft een globale indicatie voor de beveiligingsbehoefte van het betreffende proces.
In de kolom ‘aantal scores 3’ is aangegeven hoe vaak binnen een bepaald aandachtsgebied een 3
is gescoord. Als er één of meer scores voor wat betreft de verwerking van de persoonsgegevens
hoger is dan een drie (dat is hier 2 keer gebeurd), dan moet er een privacy impact analyse (PIA)
worden uitgevoerd en contact opgenomen met de CISO of gelijkwaardige functionaris.
Een specifieke aanbeveling voor het live brengen van de praktijkbeproeving was dat er nog in
detail beschreven moest worden wat de specifieke doelen van de verstrekking van de
persoonsgegevens waren. Aan de deelnemers aan de test is voor de start van de test een
toestemmingsformulier voorgelegd, waarin de doelen van de gegevensuitwisseling zijn voorgelegd.
Voor toekomstige gegevensuitwisselingen is dit overigens ook een zeer relevante aanbeveling; het
is van belang om voor de verwerking te specifieke doelen te beschrijven en deze op een adequate
manier kenbaar te maken aan de burger (zoals ook in de AVG staat opgenomen). Deze
beschrijving geeft namelijk de kaders aan waarbinnen de verwerking is toegestaan.
35
3.2.3. Totaaladvies
Op basis van de resultaten van de BIG op de praktijkbeproeving van Regie op Gegevens bij de
gemeente Boxtel en de Woonstichting St. Joseph valt op te maken dat de resultaten voor
beschikbaarheid en integriteit binnen de baseline vallen en dat de praktijkbeproeving op een losse
vraag voor vertrouwelijkheid en privacy buiten de baseline valt. Dat betekent dat er een
risicoanalyse moet worden uitgevoerd (vanwege eenmaal een score van 3 op het onderwerp
vertrouwelijkheid) en een privacy impactanalyse (vanwege tweemaal een score van 3 op het
onderwerp verwerking persoonsgegevens).
Voor deze specifieke praktijkbeproeving is er voor gekozen om niet de standaard diepgaande
risicoanalyse uit te voeren maar de beoordeling op de architectuur van het Qiy Trust Framework en
de privacy impactanalyse mee te nemen in het advies aangezien deze in dit geval meer
toegevoegde waarde hebben. De resultaten daarvan zijn in paragraaf 3.3 opgenomen.
Aandachtspunt bij de BIG is nog wel het volgende. De BIG kijkt naar de informatiebeveiliging bij de
gemeenten. Bij Regie op Gegevens worden gegevens aan derden geleverd (in dit geval de
Woonstichting). Nu is het in theorie mogelijk dat de gegevenslevering door de gemeente netjes
conform de baseline gaat, maar dat de gegevensvrager niet zorgvuldig omgaat met de gegevens.
Formeel is in deze specifieke situatie de Woonstichting verantwoordelijk voor de data die zij
verwerkt en daarnaast zijn er eisen over gegevensverwerking opgenomen in de
aansluitvoorwaarden van het Qiy Trust Framework. Het is echter de vraag in hoeverre hier ‘goed
huisvaderschap’ van de data aan te bevelen is voordat er een koppeling richting een andere
organisatie wordt gemaakt. En of en in hoeverre de gegevenshouder van de data zich ervan moet
vergewissen dat er ook bij de gegevensvrager op een goede manier wordt omgegaan met de
gegevens. Dit raakt een meer fundamentele vraag, bepaalt de burger of de gegevens worden
uitgewisseld of heeft de gegevenshouder hier ook nog een eigen verantwoordelijkheid? Dit speelt
natuurlijk niet alleen bij gemeenten, maar in brede zin.
Aanbeveling: Er moet onderzocht worden in hoeverre de gegevenshouder bij Regie op Gegevens
een eigen verantwoordelijkheid heeft met betrekking tot de manier waarop de gegevensvrager
omgaat met deze gegevens. Bepaalt de burger zelf volledig met wie hij/zij gegevens deelt of zijn
hiervoor andere kaders gewenst (goed huisvaderschap van de gegevens)?
3.3 Aandachtspunten en aanbevelingen
Uit een eerdere analyse van de pilot op het vlak van architectuur en het afsprakenstelsel komt een
aantal aanbevelingen naar voren dat op de praktijkbeproeving dan wel op het vervolg van de
praktijkbeproeving van toepassing is. Tevens heeft op het Qiy Afsprakenstelsel een privacy
impactanalyse (PIA)42 plaatsgevonden. De belangrijkste conclusies en adviezen uit de 0.99 versie
van deze PIA met betrekking tot de informatiebeveiliging zijn in dit document overgenomen.
42 Privacy Management Partners (2016), PIA Qiy. Privacy Impact Assessment op het Qiy Afsprakenstelsel.
Versie 0.99.
36
Via het Qiy Trust Framework kunnen organisaties op basis van door de burger ingestelde
toestemmingen onderling gegevens uitwisselen. Deze uitwisseling vindt plaats tussen een
gegevenshouder en een gegevensafnemer. Verstrekkingen vanuit de gemeente als
gegevenshouder zijn gebonden aan vigerende regelgeving ten aanzien van beveiliging en
bescherming van de privacy. Denk hierbij aan de Wet Basisregistratie Persoonsgegevens, de Wet
Bescherming Persoonsgegevens, de Algemene Verordening Gegevensbescherming, de Wet
Elektronisch Berichtenverkeer, de Baseline Informatiebeveiliging Nederlandse Gemeenten, de
eIDAS verordening43 en de Set van Eisen behorende bij de Wet Digitale Overheid.
Voorbeelden van eisen, die vanuit deze wet- en regelgeving worden gesteld aan de verwerking van
gegevens, zijn:
• De rechtmatigheid van een verwerking van (persoons)gegevens dient geborgd te zijn;
• De verwerking van (persoons)gegevens dient verantwoord te kunnen worden;
• De privacy van (persoons)gegevens dient geborgd te worden;
• Voor iedere elektronische dienst dient een betrouwbaarheidsniveau vastgesteld te worden aan
de hand van een classificatiemodel;
• Voor de toegang tot elektronische diensten wordt een authenticatiemiddel vereist, wat past bij
het betrouwbaarheidsniveau van de elektronische dienst;
• Participanten van een elektronische transactie dienen een audit-trail van de
informatietransactie vast te leggen en archiveren conform de geldende bewaartermijnen.
Gezien het bovenstaande worden aan de elektronische diensten, die via het Qiy Trust Framework
beschikbaar worden gesteld, aan afnemers de onderstaande eisen gesteld:
• Elektronische diensten zijn gebonden aan duidelijk beschreven doelen;
• Toegang tot elektronische diensten wordt enkel verleend indien daarvoor toestemming is
afgegeven met een authenticatiemiddel wat qua niveau past bij het betrouwbaarheidsniveau
van de dienst;
• Het gebruik van elektronische diensten wordt vastgelegd en kan verantwoord worden;
• Elektronische diensten worden opgezet via privacy en security-by-design principes.
Bij de uitvoering van de Proof of Concept met de gemeente Boxtel en de Woonstichting St. Joseph
is een aantal zaken geconstateerd, die strijdig zijn met bovenstaande uitgangspunten. Daarnaast is
geconstateerd dat het Qiy Trust Framework op onderdelen onvoldoende is aangesloten op de
landelijke bouwstenen en uitgangspunten ten aanzien van elektronische dienstverlening. Voordat
aan meer grootschalig gebruik kan worden gedacht, moeten er wel oplossingen komen voor deze
issues. De belangrijkste bevindingen en aanbevelingen zijn hieronder opgenomen.
Identificatie
Bij het aanroepen van een elektronische dienst van een dienstaanbieder ontvangt de
dienstaanbieder bij de aanroep een Qiy-ID waarmee de burger wordt geïdentificeerd. Dit Qiy-ID
dient de dienstaanbieder lokaal om te zetten naar een identificatienummer waarmee de burger kan
worden geïdentificeerd binnen de eigen registraties. Voor gemeenten betekent dit dat zij een tabel
bij moeten houden van BSN’s en bijbehorende Qiy-ID’s. Dit is vanuit privacy en
beveiligingsoogpunt ongewenst en bovendien betreft dit naar verwachting een onwettige
verwerking van het BSN.
43 De impact van de implementatie van eIDAS is in de praktijkbeproeving niet meegenomen.
37
Daarnaast ontstaat door het gebruik van identieke Qiy-ID’s naar alle dienstenaanbieders en
dienstenafnemers de ongewenste mogelijkheid tot profilering over organisaties (privaat en publiek)
heen. Er bestaat een risico dat op basis van het combineren van logging bij afnemende
organisaties per Qiy pseudo-ID een profiel kan worden opgesteld van de verschillende instanties
waarmee voor dat pseudo-ID gegevens gedeeld worden.
Aanbeveling: Onderzoek of, en tegen welke kosten, het Qiy Trust Framework aan kan sluiten op
het BSN-koppelregister en gebruik kan maken van Polymorfe Identiteiten (PI) en de Polymorfe
Pseudoniemen (PP) in plaats van de Qiy-ID’s. Mocht deze weg onbegaanbaar blijken, dan moet
onderzocht worden op welke wijze dit wel goed geregeld kan worden.
Autorisatie, doelbinding en regie
Het Qiy Trust Framework sluit wellicht niet geheel aan bij de verwachtingen ten aanzien van de
doelbinding en de regie over de gegeven toestemmingen:
• Door het geven van toestemming voor een uitwisseling van een set gegevens (een ‘claimset’)
wordt aan een organisatie toestemming gegeven om gegevens uit te wisselen. In de
proeftuin44 werd gewerkt met een autorisatie op afnemerniveau en geen autorisatie op
basis van een doelbinding. Het is wel van belang dat dit op het niveau van een doelbinding
mogelijk wordt.
• Daarbij is het ook nog de vraag wat het niveau is waarop de toestemming wordt
gegeven. Is het wenselijk om toestemming te geven op een set van gegevens of is het
interessant om toestemming te geven op een deel van de set van gegevens?
• De burger kan zien welke set van gegevens tussen welke organisaties zijn uitgewisseld, maar
hierbij wordt de doelbinding niet bijgehouden. Tijdens het inschrijfproces moet duidelijk
worden aangegeven wat de grondslag is voor de verwerking bij de Woonstichting. Maar omdat
dit niet wordt bijgehouden, is het niet mogelijk om achteraf een (totaal)beeld te hebben van
de verleende toestemmingen. Het is in de Dappre app nog niet (eenvoudig) mogelijk om
inzage te verkrijgen in welke organisaties voor welke gegevens geautoriseerd zijn. In het
kader van de transparantie naar de burger moet dat inzicht er wel komen.
• Het is ook belangrijk dat de burger de mogelijkheid heeft om geen toestemming te geven
voor de gegevensuitwisseling. De burger moet dan de optie hebben om gegevens handmatig
in te voeren (in de test was dat niet mogelijk). Er mag geen dwang achter de toestemming
zitten (ook wel ondubbelzinnige toestemming, dat is toestemming die vrij van druk is,
geïnformeerd gemaakt en gegeven via een actieve handeling).
• Een voorwaarde aan het geven van toestemming is dat de toestemming ook in te trekken
moet zijn. Het intrekken van eerder afgegeven toestemmingen door de burger moet
eenvoudig mogelijk worden. En daarbij moet ook duidelijk zijn wat er gebeurt met de
gegevens die de afnemer heeft ontvangen nadat de toestemming is ingetrokken (het mag niet
zo zijn dat het intrekken van de toestemming leidt tot het stopzetten van de dienst).
• Qiy is ingericht op het toestemming geven voor één persoon. Een machtigingsstructuur is
niet beschikbaar. Voor het effectief inzetten van Qiy binnen de overheid zou een dergelijke
structuur wel ingericht moeten worden.
44 Overigens kunnen zowel de gemeente als de woonstichting deze gegevens verwerken op basis van de
grondslag van de vervulling van een taak van algemeen belang (Art. 6.1e AVG). Dit roept overigens wel de vraag op, waarom een burger deze gegevens via een inschrijfformulier aan moet leveren.
38
In aanvulling op de bovengenoemde punten is ook het volgende relevant. In de proeftuin is nu
alleen toestemming ingeregeld voor een eenmalige gegevenslevering. Het regelen van
toestemming voor een langere periode heeft serieuze consequenties voor de architectuur van
het Qiy Trust Framework. In de proeftuin wordt een BSN gebruikt in een bevraging van het
gegevensdistributiesysteem (die wordt meegeleverd bij het inloggen met DigiD). Als er nu geen
toestemming gegeven hoeft te worden voor een tweede bevraging (omdat er voor een bepaalde
periode toestemming is gegeven), dan hoeft de burger niet met DigiD in te loggen. Hoe komt het
gegevensdistributiesysteem dan echter aan het BSN? Om als gegevenshouder (bv. de gemeente
Boxtel) een vervolgvraag te kunnen beantwoorden zou de gegevenshouder het Qiy pseudo-ID en
het bijbehorende BSN moeten opslaan, zodat op basis van het Qiy pseudo-ID het BSN opgezocht
kan worden. Het BSN mag echter niet op een dusdanige manier worden verwerkt en opgeslagen en
daarbij levert dit een nieuwe beveiligingszwakheid op die vermeden zou moeten worden. Mogelijk
kan het Qiy Trust Framework hier aansluiten op het BSN-koppelregister met polymorfe
pseudoniemen. Dit moet onderzocht worden (zie ook de aanbeveling met betrekking tot
identificatie in deze paragraaf).
Authenticatie
Bij het gebruik van een elektronische dienst via het Qiy Trust Framework is het bij de
dienstaanbieder45 van de gegevenshouder (nog) niet bekend wat het niveau van het gebruikte
authenticatiemiddel is waarmee de burger de toestemming heeft gegeven.
In de Proof of Concept is de DigiD authenticatie uitgevoerd door Wind Internet. Na authenticatie
krijgt Wind Internet de BSN van de geauthenticeerde burger. Deze BSN wordt vervolgens
doorgegeven aan Enable-U. Door Enable-U wordt niet gecontroleerd of er ook echt een DigiD
authenticatie is uitgevoerd. Zij gaan er op het moment, dat ze een verzoek van Wind Internet
krijgen, van uit dat deze geauthenticeerd is. In de keten weet dus alleen Wind Internet of er
authenticatie is uitgevoerd en door wie.
Voor de uiteindelijke situatie is het nog iets anders. Ergens zal de DigiD authenticatie plaatsvinden,
maar het is nog niet duidelijk waar dat in een operationele omgeving zal gebeuren. Het lijkt logisch
dat de aanbieder van de app (nu: Dappre) die authenticatie moet uitvoeren. Vervolgens moeten
verzoeken om gegevens door een afnemer van een dienst via de Qiy node van de gebruiker naar
de dienstaanbieder worden gerouteerd indien daar toestemming voor is ingeregeld. De
dienstaanbieder kan echter niet nagaan of de toestemming met het juiste authenticatiemiddel (qua
betrouwbaarheidsniveau) is afgegeven. En daardoor is het niet mogelijk om te bepalen of het
niveau van het gebruikte authenticatiemiddel past bij het betrouwbaarheidsniveau van de dienst.
Aanbeveling: Onderzoek op welke wijze het Qiy Trust Framework bij het verlenen van een
toestemming het gehanteerde authenticatieniveau bij de toestemming kan vastleggen en kan
doorgeven aan de gegevenshouders.
45 De dienstaanbieder biedt elektronische diensten aan gebruikers aan waarvoor authenticatie voorwaardelijk
is. In het geval van de praktijkbeproeving in Boxtel was Enable-U de dienstaanbieder van de gemeente Boxtel als gegevenshouder.
39
Gegevensuitwisseling
Het Qiy Trust Framework is gebaseerd op het OpenID Connect protocol. Dit protocol is een
interoperabel authenticatieprotocol dat gebaseerd is op de Auth 2.0 familie. De typische toepassing
van OpenID Connect is in Business-to-Consumer (B2C) scenario’s. Denk hierbij aan authentiseren
van een persoon bij verschillende websites (bedrijven) zonder hierbij zelf wachtwoorden en
gebruikersnamen te hoeven gebruiken en managen. Het Qiy Trust Framework voegt hier het
regelen van het geven van toestemming aan partijen om gegevens te gebruiken (consent) aan toe.
Wat door het Qiy Trust Framework niet wordt geregeld, is de wijze waarop tussen organisaties
gegevens worden uitgewisseld. Het uitwisselen van gegevens tussen organisaties die daartoe door
de burger zijn geautoriseerd is Business-to-Business (B2B) uitwisseling en dat valt niet binnen de
OpenID Connect interactiepatronen.
Voor deze gegevensuitwisseling dient nader bepaald te worden hoe deze gestandaardiseerd kan
worden. Alle gegevensuitwisselingen in het kader van eIDAS moeten voldoen aan de Set van Eisen
van het ministerie van BZK en Logius. Diensten waarbij met DigiD wordt ingelogd moeten aan de
eisen van DigiD voldoen.
Impact op informatiesystemen van aangesloten organisaties
Bij het gebruik van Qiy kunnen organisaties, na toestemming van de burger, gegevens over die
burger bij een andere organisatie opvragen. Het idee is dat daardoor altijd de meest recente
gegevens beschikbaar zijn. Dit gaat uit van een zogenaamd data-pull scenario waarbij gegevens
worden opgevraagd op het moment dat ze nodig zijn. De meeste informatiesystemen gaan echter
uit van een scenario waarbij alle gegevens uit een eigen database worden gelezen. Gegevens
worden daarbij eenmalig ingewonnen of via een data-push mechanisme (via notificaties) up-to-
date gehouden. Het overschakelen naar een data-pull scenario kan vragen om serieuze
aanpassingen in software. Nadere positionering van Qiy is nodig. Het zou onderzocht moeten
worden of Qiy ook kan functioneren in een data-push scenario.
Herkenbaarheid voor de burger
In het Proof of Concept is gebruik gemaakt van de Dappre app van Digital Me voor het instellen
van de toestemming. Deze app verbindt de burger met het Qiy Trust Framework. De app maakt
een zogenaamde Qiy node aan voor de burger binnen het Qiy Trust Framework. Aan deze Qiy node
kunnen vervolgens via de Dappre app Qiy nodes van andere organisaties worden gekoppeld en per
gekoppelde Qiy node kan worden aangegeven welke gegevensuitwisselingen van
persoonsgegevens worden toegestaan.
Bij grootschalige toepassing van Qiy binnen de overheid is aan te raden om te onderzoeken of
interessant is om een vervangende of aangepaste app voor Dappre met de look-and-feel van de
overheid te ontwikkelen. Een gebruikersinterface met de look and feel van de overheid kan
bijdragen aan de herkenbaarheid naar de burger en het vertrouwen van de burger in het systeem.
De Dappre app verbindt mensen op hun Qiy node. De Qiy node wordt door Digital Me
gepositioneerd als een potentiële bron van gegevens (zoals e-mail, telefoonnummer). Er moet
onderzocht worden of het gebruik van de Qiy node als bron voor gegevens binnen
overheidstoepassingen adequaat is. Mogelijk leidt dit tot verwarring bij de burger, omdat de burger
ook een mailadres ‘moet’ registreren in MijnOverheid.
40
Aanbeveling: Onderzoek of, en tegen welke kosten, de overheid als issuer van Qiy nodes en
leverancier van een eigen app kan optreden. Onderzoek tevens in hoeverre de functionaliteit van
de app ten aanzien van inzien van verleende toestemmingen en uitgevoerde
gegevensuitwisselingen opgenomen kan worden in MijnOverheid.
Overzetten Qiy node
Het moet mogelijk worden om de Dappre app vanaf meerdere apparaten tegelijk te gebruiken. Via
de Dappre app wordt een persoonlijke Qiy node aangemaakt binnen het Qiy Trust Framework.
Deze Qiy node is op dit moment gekoppeld aan de Dappre app op één apparaat, waarbij het wel
mogelijk is om de Qiy node over te zetten naar een ander apparaat (bv. wanneer je een nieuwe
telefoon in gebruik neemt). Het is (nog) niet mogelijk om de Qiy node vanuit meerdere apparaten
(tablet, mobiele telefoon) te gebruiken. Potentieel is het hierdoor mogelijk dat burgers nu
meerdere persoonlijke Qiy nodes aanmaken zonder zich daarvan bewust te zijn. Doordat de burger
zich hier niet van bewust is, verliest deze daardoor potentieel de regie over zijn of haar gegevens
doordat eerder afgegeven toestemmingen voor gegevensuitwisselingen zich via voor de burger niet
meer zichtbare Qiy nodes plaatsvinden.
41
4 Resultaten praktijkbeproeving
In dit hoofdstuk zijn de resultaten van de praktijkbeproeving opgenomen. In de eerste paragraaf is
het perspectief van de burgers beschouwd en zijn de resultaten van de gebruiksvriendelijkheidstest
opgenomen. In de tweede paragraaf zijn het perspectief van de gemeente Boxtel en van de
Woonstichting St. Joseph beschouwd.
4.1 Ervaringen burgers
Op donderdag 13 juli 2017 is een gebruiksvriendelijkheidstest uitgevoerd met burgers om Regie op
Gegevens in de praktijk te beproeven. De deelnemers aan de test is gevraagd om a) Dappre te
installeren en een profiel aan te maken in Dappre, b) zich in te schrijven bij de Woonstichting St.
Joseph en c) om hun profiel te verwijderen uit Dappre.
4.1.1. Deelnemers gebruiksvriendelijkheidstest
Aan deze test deden 13 deelnemers mee uit de gemeente Boxtel. In de onderstaande tabel zijn
enkele achtergrondkenmerken opgenomen van de deelnemers aan de test.
Achtergrondkenmerken deelnemers usability test (n=13)
Achtergrondkenmerken Antwoord Percentage
Type smartphone Android 77%
iPhone 23%
Tijdsbesteding aan smartphone per dag 1 uur 31%
1,5 uur 15%
2 uur 31%
> 2 uur 23%
Gebruik internetbankieren op smartphone Ja 62%
Nee 38%
Meest gebruikte apps op smartphone Whatsapp 62%
(open vraag, max. 3 antwoorden) Facebook 31%
Mail 23%
Internetbankieren 23%
Eigen inschatting digitale vaardigheden Gemiddelde cijfer (1 tot 10) 7,1
Er is voor de test niet naar gestreefd om een representatieve selectie te maken van burgers die
zich in willen schrijven bij een woonstichting noch van burgers uit Boxtel.46 De resultaten uit deze
test zijn dan ook niet algemeen geldend.
4.1.2. Overall resultaten gebruiksvriendelijkheidstest
De deelnemers aan de test is gevraagd om a) de Dappre app te installeren en een profiel aan te
maken in Dappre, b) zich in te schrijven bij de Woonstichting St. Joseph en c) om hun profiel te
verwijderen uit Dappre, alle drie op ter beschikking gestelde mobiele telefoons.
46 Immers, dan zou het aantal van 13 deelnemers aan de usability test ook niet voldoende zijn.
42
Alle deelnemers hebben alle drie de processen (aanmaken profiel, inschrijven bij de woonstichting,
verwijderen profiel) van begin tot einde succesvol kunnen doorlopen. In sommige gevallen kregen
de deelnemers wel enige aanmoediging (“kijk eens verder naar andere knoppen in de Dappre app”)
of ondersteuning (“zie je het vinkje rechtsboven”) van de waarnemers wanneer zij er zelf niet
uitkwamen. Zonder deze ondersteuning (in een real life omgeving) is het de vraag of een deel van
de gebruikers niet halverwege af zou haken of naar een helpdesk zou bellen. Als overigens de
suggesties voor verbetering (zie de volgende paragrafen) worden opgepakt, dan kan de
klantervaring verder worden verbeterd en kan dit risico worden beperkt.
In de onderstaande tabel is de overall waardering van de deelnemers voor de drie verschillende
activiteiten opgenomen. Te zien is dat bijna de helft van de deelnemers tevreden was over het
aanmaken en het verwijderen van een profiel in Dappre. Ongeveer 3/4 van de respondenten was
tevreden over het inschrijfproces. Geen van de deelnemers heeft aangegeven ontevreden te zijn
over de drie processen. Niet alle deelnemers hebben een antwoord gegeven op de vraag over de
overall tevredenheid, een nadere beschouwing van alle antwoorden laat zien dat er geen relatie is
tussen de non-respons en de mate van tevredenheid.
Overall tevredenheid (n=13)
Achtergrondkenmerken Positief Neutraal Negatief Geen
antwoord
Installeren Dappre en aanmaken profiel in Dappre 46% 23% 0% 31%
Inschrijven bij Woonstichting St. Joseph 77% 8% 0% 15%
Verwijderen profiel in Dappre 46% 23% 0% 31%
Bij het inschrijfproces bij de Woonstichting St. Joseph is de respondenten ook gevraagd om per
scherm een indruk te geven van de algemene waardering (positief, neutraal, negatief) van het
betreffende scherm. Het gemiddelde van de antwoorden is in de onderstaande figuur opgenomen.
Tevredenheid per scherm (n=13)
De overall indruk van de deelnemers aan de gebruiksvriendelijkheidstest is zeer positief. De
grootste dip is te vinden bij scherm 3. In dat scherm moet de gebruiker de QR-code scannen om
verbinding te maken tussen de Woonstichting St. Joseph en de Dappre app. In deze stap was niet
43
altijd duidelijk dat er gescand moest worden met de smartphone, er was niet duidelijk hoe te
scannen en de wifiverbinding was instabiel waardoor deze stap niet altijd kon worden afgerond. De
dip aan het einde van het proces hing ermee samen dat er enige onduidelijkheid was of het proces
wel goed was gegaan en of er wel was uitgelogd met DigiD. In paragraaf 4.1.4 is een nadere
uitwerking gemaakt van de aandachtspunten per scherm en daar is ook aangegeven welke
aandachtspunten er zijn voor een verdere verbetering van het inschrijfproces.
Vanuit KING waren drie verschillende waarnemers aanwezig bij de usability test. Uit eigen
waarneming is naar voren gekomen, dat de deelnemers redelijk positieve scores gaven, ook als zij
er zelf in eerste instantie niet helemaal uitkwamen. Bij de overall indruk van het inschrijfproces
werd 10 keer ‘Positief’ ingevuld, één keer ‘Neutraal’ en twee keer ‘Geen antwoord’, een positievere
score dan op grond van de deelwaarnemingen mocht worden verwacht.
4.1.3. Installeren Dappre app en aanmaken profiel
Het installeren van de Dappre (op hun eigen smartphone) ging bij de deelnemers zonder
problemen. Vervolgens is hen gevraagd om een profiel aan te maken in de Dappre app (eerst op
hun eigen smartphone, vervolgens op een voor deze pilot ter beschikking gestelde mobiele
telefoon). Bij het aanmaken van een profiel in de Dappre app zijn de volgende suggesties één of
meerdere keren gegeven:
• Aandachtspunten m.b.t. het aanmaken van een profiel:
• Je maakt een Qiy node aan. Wat is een Qiy node? Waarom is dat nodig? Meer uitleg
daarover zou gewenst zijn.
• Er is wat twijfel over wat je moet doen nadat je je naam hebt ingevuld. Hoe geef je aan
dat gegevens kloppen? Als je de enter-knop gebruikt, geeft hij een enter in het veld. Dat
werkt niet als ‘opslaan’ om het veld te sluiten (en naar het volgende veld te gaan).
Uiteindelijk blijkt dat je een klein vinkje rechtsboven moet gebruiken (die valt niet heel
erg op). Een meer prominente ‘opslaan’-functie of bewaarknop is gewenst.
• Er zijn wat onduidelijkheden over het invullen van de gegevens (Moeten de voornaam en
achternaam in een verschillend veld of in hetzelfde veld? Waar vul je je huisnummer in?
Daar is geen apart veld voor).
• Aandachtspunten m.b.t. schermen op mobiel, gebruiksgemak, look and feel en logica:
• Er ontbreekt een startscherm als je in de app zit.
• Er zijn te veel knoppen waar je naartoe kunt. Het is niet gemakkelijk om de juiste knop te
vinden. Wat betekenen de knoppen onderaan het scherm? Duidelijke iconen of een
uitlegbalkje als je over een knop heen scrolt zijn gewenst. De knoppen zijn ook erg klein.
• Er is geen knop om de app af te sluiten.
Het merendeel van de deelnemers begreep wat ze moesten doen (78%) en begreep waarom ze het
moesten doen (62%). Van de deelnemers vertrouwt 54% wat er gebeurt, 38% geeft hierop geen
antwoord en één respondent (8%) geeft aan dat het vertrouwen nog moet komen. Vier van de 13
respondenten (31%) zijn tevreden over de schermen in de app, 15% heeft hierover geen mening
en de rest (54%) geeft aan dat er nog wel verbetering gewenst is (zie de bullets hierboven).
44
4.1.4. Inschrijven bij de woonstichting
Het tweede deel van de gebruiksvriendelijkheidstest was het inschrijven bij de Woonstichting St.
Joseph. In het navolgende deel lopen wij per scherm langs hoe de deelnemers de verschillende
schermen hebben ervaren. Naast de opmerkingen van de respondenten zijn ook observaties van
de waarnemers toegevoegd. De opmerkingen van de respondenten en de observaties van de
waarnemers geven richting voor een verdere verbetering van het inschrijfproces.
Resultaten per scherm proces inschrijven
De volgende vraag is vooraf door verschillende deelnemers gesteld: “Dit heeft toch geen gevolgen
voor mijn bestaande inschrijving?” Er was de vrees dat de bestaande inschrijving zou worden
overschreven. Dat was vanzelfsprekend niet het geval omdat hier sprake was van een
acceptatieomgeving.
Scherm 1:
Testers:
• Het scherm was duidelijk.
• Er was niet duidelijk waarom de download-
knoppen op dit scherm stonden. Dat leidde
soms tot verwarring (“De Dappre app
hoeft toch niet op je PC geïnstalleerd te
worden?”).
Observaties waarnemers:
• Waar is de logische knop om op te klikken
om verder te gaan (ook wel de ‘banaan’ genoemd)? Deze knop valt niet heel erg op (ook niet
in vergelijking met de twee zwarte knoppen daar net boven).
• De knop ‘Ik doe mee’ versus de knop ‘Inloggen met Dappre’ Wat doet deze tweede knop?
Leidt dat niet tot verwarring?
Scherm 2:
Testers:
• Het scherm wijst voor zich.
Observaties waarnemers:
• De drie knoppen in dit scherm zijn
‘Koppelen’, ‘Ophalen’ en ‘Volgende’. De
term ‘Volgende’ valt hier een beetje uit de
toon. En begrijpen gebruikers deze drie
termen?
45
Scherm 3:
Testers:
• Hier was niet meteen duidelijk dat de
tester zijn / haar telefoon moest
gebruiken. Een mogelijke oplossing
hiervoor is om niet ‘iOS of Android’ te
gebruiken, maar ‘uw telefoon’.
• De logica laat hier een beetje te wensen
over. Zodra je 'verbinding' hebt aangeklikt
(zie vorige scherm) met de woonstichting
komt het 'scan' scherm tevoorschijn.
Hierdoor denk je dat het niet goed is gegaan of dat er nog iets moet gebeuren.
• In de Dappre app was ook niet altijd meteen duidelijk hoe het scannen werkte. Alleen de ‘+’
knop (Android) in de Dappre omgeving was niet duidelijk genoeg (zeker voor mensen die de
app voor het eerst zagen).
• Als er geen verbinding tot stand komt (bv. door een trage wifiverbinding, wat tijdens het
eerste deel van de gebruiksvriendelijkheidstest het geval was) dan is onduidelijk wat de tester
moet doen. In bepaalde gevallen werd de QR-code weg geklikt (via het kruisje bovenaan). Op
dat moment loopt het proces vast en moest het opnieuw worden gestart.
Observaties waarnemers:
• Wat is de toegevoegde waarde van de beide downloadknoppen in dit scherm? Het installeren
van een app tijdens het inschrijfproces lijkt niet handig. Het lijkt logischer dat de gebruiker er
voor de start van het inschrijfproces op wordt gewezen dat ze een Dappre app moeten
hebben.
• Meer in algemene zin, als het niet snel genoeg gaat (bijvoorbeeld bij verdwijnen van de QR-
code), dan worden mensen snel ongeduldig en willen zij de QR-code wegklikken. Het is
belangrijk dat de ‘klantreis’ dan door kan blijven gaan. Nu liep het proces vast.
Scherm 4:
Testers:
• Het scherm was duidelijk.
46
Scherm 5:
Testers:
• Nadat de testers op de knop ‘ok’ hadden
geklikt (vorige scherm) bleven
verschillende testers relatief lang op hun
telefoon kijken. Op de telefoon gebeurde
dan echter niets, terwijl er op de laptop
een nieuw scherm verscheen. De overgang
van het vorige naar dit scherm duurde
daarom relatief langer. Een mogelijke
oplossing hiervoor: laat een berichtje op
het scherm van de telefoon verschijnen met een tekst zoals, ‘het is gelukt, ga nu verder op de
laptop of computer’.
Scherm 6:
Testers:
• Een enkele tester vond het lastig om te
zien waar nu op geklikt moest worden (er
is een DigiD inlogknop en daarboven staat
in kleine letters ‘inloggen met uw DigiD
inlogcode’). Daartussen staat ook nog een
knop ‘Wat is DigiD?’.
Observaties waarnemers:
• Het was niet helemaal duidelijk of alle
testers nu echt begrepen wat hier in deze stap gebeurde (Waarom is er DigiD nodig? Voor de
uitwisseling van de gegevens?). Er werd wel gewoon door dit scherm (en overigens ook door
de overige schermen) heen geklikt.
Scherm 7:
Testers:
• Dit scherm was duidelijk voor het
overgrote deel van de testers.
• Het scherm was ook herkenbaar.
Observaties waarnemers:
• Het was opvallend, dat veel deelnemers
een spiekbriefje of zelfs de officiële DigiD
brief hadden meegenomen voor hun
gebruikersnaam en wachtwoord om in te
kunnen loggen met DigiD.
47
Scherm 8:
Testers:
• Bij het merendeel van de testers ging dit
goed, in sommige gevallen (bij een minder
goede wifiverbinding) kwam er eerst een
scherm ‘we wachten op gegevens uit
Boxtel’ voordat dit scherm verscheen.
Observaties waarnemers:
• Er staat op het scherm ‘Deze gegevens
kan de gemeente Boxtel u ter beschikking
stellen’. Dekt ‘u ter beschikking stellen’ voldoende de lading dat die gegevens ook gaan
worden geleverd aan de Woonstichting? Moet daar geen expliciete bevestiging voor worden
gevraagd?
• In het verlengde daarvan staat er ‘Druk op “Akkoord” om door te gaan’. Is dat ook voldoende
voor het echt geven van toestemming om gegevens uit te wisselen? Beseft een gebruiker
hiermee wel dat er echt toestemming wordt verleend voor het leveren van de gegevens?
Scherm 9:
Testers:
• Het scherm was duidelijk.
Observaties waarnemers:
• Onderaan het scherm staan de gegevens
die nu gedeeld worden bij ‘Uw gedeelde
gegevens’. De gegevens zijn op dat
moment door de woonstichting ontvangen.
Of ze worden vastgelegd binnen de
systemen van de woonstichting hangt
ervan af of de burger het inschrijfproces voltooid. Indien het proces wordt afgebroken, dan
dient de woonstichting alle ontvangen gegevens te verwijderen, aangezien er dan geen
verwerkingsgrond is47. Vanuit de burger geredeneerd lijkt het logischer dat de gegevens pas
gedeeld worden als de inschrijving wordt voltooid.
• De gebruikers wilden hier meteen doorklikken op de knop ‘Volgende’. Ze zagen niet wat er
onderaan op het scherm gebeurde (en dat daar niet meer de zelf ingevulde naam uit de
Dappre app stond, maar dat daar de gegevens stonden uit de gemeente Boxtel). Pas als de
gebruiker daarop gewezen werd (“Zie je wat er nu onderaan het scherm is veranderd?”), was
er een reactie in de trant van “O ja, inderdaad”.
47 Dit moet naar verwachting ook als verwerking voor de AVG worden bijgehouden.
48
Scherm 10:
Testers:
• Het scherm was duidelijk.
• Na dit gedeelde scherm waren er nog twee
andere ‘dummy’ schermen waar overige
gegevens relevant voor de inschrijving
konden worden ingevuld. Bij één van de
latere schermen was er nog
onduidelijkheid over het ontvangen van
een ontvangstbevestiging via de e-mail
(de e-mail was niet ingevuld door de
testers bij het aanmaken van het profiel in Dappre).
Observaties waarnemers:
• Bij het invullen van de overige gegevens (op dit scherm en de twee schermen daarna) maakte
het niet uit wat in te vullen. Wel klikten sommige testers op de knop ‘Bestand kiezen’, dat is
de meest opvallende knop op één van de latere schermen.
Scherm 11:
Testers:
• Bij het merendeel was het scherm
duidelijk.
• Een vraag van een tester was: “Ben ik nu
al uitgelogd uit DigiD?”. Er was in de
proeftuin geen mogelijkheid om uit te
loggen en dat betekende dat de sessie
maximaal 15 minuten actief bleef. Dit is
overigens wel in te korten. Voor de
eindoplossing is een uitlogknop overigens
wel verplicht (eis van Logius).
• Het is belangrijk dat er een bevestiging wordt gegeven dat stappen in het proces goed zijn
afgerond (dat je klaar bent met de inschrijving, dat het formulier is ontvangen en dat er een
bevestigingsmail is verzonden).
Overall begreep het merendeel van de respondenten wat ze moesten doen, al was het af en toe
wel zoeken wat te doen (dat was vooral het geval als er met de Dappre app gewerkt moest
worden). Bij foutmeldingen (bijvoorbeeld als gevolg van een minder goede wifiverbinding) was het
soms onduidelijk hoe verder te gaan.
Bij verschillende pogingen liepen de respondenten vast in het proces. Dat was bijvoorbeeld
wanneer gebruik werd gemaakt van een andere internetbrowser dan Mozilla Firefox om het
inschrijfformulier te openen. Of wanneer de tester probeerde om de koppeling te leggen via zijn
eigen smartphone in plaats van via de speciaal voor de test geprepareerde smartphones.
Vanzelfsprekend moet de functionaliteit in de toekomst werken met alle gangbare internet
browsers en op alle gangbare mobiele telefoons. Dat is nog een belangrijk aandachtspunt voor het
vervolg en een reden, waarom de oplossing nu nog niet schaalbaar is.
49
Respondenten gaven aan te begrijpen waarom ze de verschillende stappen moesten doorlopen om
in te schrijven bij de woonstichting. Dit stemt overigens niet overeen met de eigen observaties van
de waarnemers (of de deelnemers nu echt beseften dat er gegevens werden uitgewisseld tussen de
gemeente en de woonstichting). Zeven van de dertien respondenten gaven aan te vertrouwen wat
er gebeurde, zes respondenten gaven hierop geen antwoord. Een genoemde reden hiervoor was
dat de herkomst van de gegevens duidelijk was (Bron: Dappre / gemeente Boxtel). Wel gaf een
enkeling aan het niet zo te vertrouwen als het om financiële gegevens zou gaan. Als algemene
suggestie werd nog meegegeven dat het handig is om de gebruiker een indicatie te geven hoe ver
de gebruiker is in het scherm.
4.1.5. Verwijderen profiel
Tot slot is de deelnemers aan de test gevraagd om het profiel van de ter beschikking gestelde
telefoon te verwijderen. De grootste groep (46%) vond het lastig om de juiste knop te vinden om
het profiel te verwijderen, een iets kleinere groep (38%) had daar geen problemen mee. De rest
(15%) gaf geen antwoord op deze vraag. Met betrekking tot het verwijderen van het profiel in de
Dappre app zijn de volgende suggesties gedaan:
• Het is onduidelijk waar je in de Dappre app naar toe moet gaan om het profiel te verwijderen.
Dat is best zoeken. Uiteindelijk kom je bij de toets ‘◦◦◦’ met daaronder ‘meer’. Dit spreekt niet
voor zich. Het zou daarnaast bijvoorbeeld handig zijn als er een ‘verwijder’-optie is op dezelfde
plek als waar je je profiel kan wijzigen.48
• In een enkel geval werd de Dappre app in zijn geheel verwijderd in plaats van alleen het
profiel. Wat gebeurt er dan met je profiel?
• Wat is het verschil tussen de optie ‘verwijderen’ en ‘forceer verwijderen’? Waarom zijn hier
twee verschillende opties?
• Het onderscheid tussen het verwijderen van een kaartje (van bijvoorbeeld Woonstichting St.
Joseph) en het verwijderen van het profiel is niet duidelijk. Bij de opdracht om het profiel te
verwijderen waren er verschillende deelnemers die eerst het kaartje van de Woonstichting St.
Joseph verwijderden.
• Wat gebeurt er als je een kaartje van de woonstichting verwijdert? Is de verbinding dan echt
weg en heeft de woonstichting mijn gegevens dan nog? Dat is niet duidelijk.
Per saldo gaf 46 procent van deelnemers aan positief te zijn over het proces van het verwijderen
van het profiel, 23 procent was neutraal en 31 procent gaf hier geen antwoord.
4.1.6. Overall conclusie usability test
Alle deelnemers aan de test hebben een profiel aangemaakt, het gehele inschrijfproces doorlopen
en hun profiel verwijderd. De tevredenheid van de gebruikers tijdens de praktijkbeproeving was
hoog, overigens hoger dan op grond van de observaties van de aanwezige waarnemers zou worden
verwacht. Er werd regelmatig naar de waarnemers bij de test gekeken over wat er in de volgende
stap gedaan moest worden (vooral bij het scannen van de QR-code, of als er iets vastliep door een
minder goede wifiverbinding). Dan was enige aanmoediging (“kijk eens verder naar andere
knoppen in de Dappre app”) of ondersteuning (“zie je het vinkje rechtsboven”) nuttig.
48 Er moet er dan overigens wel rekening mee worden gehouden, dat hiermee de kans toeneemt dat het
profiel per ongeluk wordt verwijderd.
50
Zonder deze ondersteuning (in een real life omgeving) is het de vraag of een deel van de
gebruikers niet halverwege afhaakt of naar een helpdesk gaat bellen. Als overigens de suggesties
voor verbetering worden opgepakt, dan kan de klantervaring nog verder worden verbeterd en kan
dit risico worden beperkt.
De deelnemers gaven aan de andere kant ook verschillende malen aan, dat het best eenvoudig
werkt als je het proces een keer hebt doorlopen. Als je precies weet wat je moet doen, kost het
ongeveer 2 minuten om dit inschrijfproces te voltooien.
Ook moet worden opgemerkt dat het voor de burger eenvoudiger, sneller en prettiger is om de
NAW-gegevens bij een inschrijving bij een woonstichting in een formulier in te typen dan om het
op de bovenstaande manier te doen. Zeker als eerst de Dappre app moet worden gedownload en
er een profiel moet worden aangemaakt in de Dappre app. Het is daarom van belang om bij de
selectie van de volgende diensten en processen te starten vanuit de behoefte van de burger. Bij
welke processen en diensten levert het vooral de burger veel op om hem regie op de eigen
gegevens te geven?
Aanbeveling: Bij de selectie van nieuwe pilots voor Regie op Gegevens is het aan te raden om het
perspectief van de burger centraal te stellen. Kies die processen en diensten, waar Regie op
Gegevens echt direct meerwaarde heeft voor de burger. Een groot belang voor de burger (of de
ondernemer) kan de ontwikkeling van persoonlijk datamanagement een grote push geven in de
juiste richting en hierdoor zou het gebruik en de toepassing van het concept Regie op Gegevens
een vlucht kunnen nemen.
In aanvulling daarop is het ook relevant om een beter beeld te hebben van de mate waarin burgers
ook echt in staat zijn om de regie op hun gegevens te nemen. Beschikken burgers over de juiste
digitale vaardigheden? De volgende typen kunnen worden onderscheiden:49
• Operationele vaardigheden: een computer, netwerk, websites en webapplicaties kunnen bedienen.
• Informatievaardigheden: elektronische informatie kunnen zoeken, selecteren en verwerken.
• Formele informatievaardigheden: De formele kenmerken van, in dit geval een computer en het
internet, kunnen gebruiken (zoals bestandstructuren, menustructuren en hyperlinks).
• Inhoudelijke informatievaardigheden: Informatie kunnen vinden, selecteren, verwerken en
beoordelen, in specifieke computer- en netwerkbronnen en handelend vanuit specifieke vragen
en behoeften.
• Toepassingsvaardigheden: Informatie uit computer- en netwerkbronnen kunnen aanleveren en
toepassen in specifieke situaties, handelend vanuit specifieke vragen en behoeften, met als doel
een interactie of transactie tot stand te brengen.
• Strategische vaardigheden: elektronische informatie en diensten kunnen inzetten ter realisering van
een specifiek doel, met begrip van de communicatieve en maatschappelijke context waarin dat doel
gerealiseerd kan worden, en ter realisering van het algemene doel van de verbetering van een
maatschappelijke positie.
49 Universiteit van Twente (2007), Elektronische publieke dienstverlening in de toekomst. Opinies over de
strategische doelstellingen en perspectieven achter elektronische overheidsdienstverlening.
51
Om echt regie op gegevens te kunnen nemen moeten burgers ten minste over
informatievaardigheden beschikken. Een grote groep burgers heeft deze vaardigheden niet. Zie
bijvoorbeeld ook de recente studie van de Nationale Ombudsman over de knelpunten van bij
MijnOverheid en de Berichtenbox.50 Het is van belang dat er bij nieuwe ontwikkelingen ook
rekening wordt gehouden met de vaardigheden van burgers om regie op gegevens te nemen.
Gebruiksvriendelijkheid en eenvoud van de handelingen zijn daarom cruciale elementen bij de
ontwikkeling van nieuwe apps voor Regie op Gegevens. Hoe gemakkelijker het wordt gemaakt voor
de burger, hoe meer burgers ermee kunnen werken en hoe eerder burgers er mee gaan werken.
Het is daarbij ook van belang om verder te kijken naar de vaardigheden en houding van burgers
ten aanzien van het delen van gegevens en het geven van toestemming daarvoor (op een minder
hoog abstractieniveau dan de studie van Innovalor & Newcom Research & Consultancy). Zo
accepteren bijvoorbeeld nagenoeg alle burgers ongelezen de commerciële voorwaarden bij het
installeren van nieuwe apps op hun telefoon. Overigens is dat wellicht anders als het accepteren
meer serieuze consequenties heeft (bijvoorbeeld financiële consequenties of gevolgen voor rechten
inzake uitkeringen en toeslagen). Wat betekent dit voor regie op gegevens? Wanneer moeten
toestemmingen gevraagd worden aan de burger? Moet er altijd toestemming aan de burger worden
gevraagd (of is het in bepaalde gevallen minder relevant om de burger daarmee lastig te vallen?).
Is het bijvoorbeeld interessant om toestemming aan een burger te vragen als deze toch (ongelezen
en onbegrepen) wordt gegeven? Dan is het – in de ogen van de burger – wellicht een extra en
overbodige stap. Het is belangrijk om hier meer inzicht te krijgen op het perspectief van de burger.
Aanbeveling: Het is gewenst dat er een beter beeld komt van Regie op Gegevens in relatie tot de
digitale vaardigheden van burgers. In hoeverre is de burger in staat om digitaal de regie over zijn
gegevens te voeren?
Aanbeveling: Het is gewenst dat er een beter beeld komt hoe de burger aankijkt tegen zaken als
het geven van toestemming voor het delen van gegevens. Hoe weegt een burger zaken als
privacy, zelfbeschikking en gebruiksgemak tegen elkaar af? Wat wil een burger hiermee? Wat
betekent dat voor Regie op Gegevens?
Vanzelfsprekend neemt de meerwaarde van het werken met regie op gegevens via een app toe
naarmate er meer gegevens kunnen worden gedeeld en naarmate de burger beter en
gemakkelijker met de app uit de voeten kan. Vandaar ook onze eerdere aanbeveling om te
onderzoeken of gebruik kan worden gemaakt van landelijke voorzieningen van de basisregistraties
of MijnOverheid, zodat ‘relatief’ snel veel gegevens kunnen worden ontsloten.
Op dit moment is verdere opschaling van het beproefde proces naar andere gemeenten nog niet
opportuun. Er is nu alleen gewerkt in een acceptatieomgeving en het is van belang dat de
ervaringen ook getest worden in een real life productieomgeving. Daarbij moet de oplossing ook
werken met de gangbare internetbrowsers en smartphones.
50 De Nationale Ombudsman (2017), Onderzoek naar de knelpunten voor burgers bij MijnOverheid / de
Berichtenbox.
52
4.2 Ervaringen dienstverleners
In een impactanalyse wordt ook gekeken naar de impact van het project op de direct betrokken
organisaties. Daarbij wordt gekeken naar de input (Wat is er nodig?), de output (Wat zijn de
resultaten? Denk aan het aantal gebruikers of het aantal transacties), de outcome (Wat zijn de
gevolgen daarvan voor de betrokken organisaties) en de maatschappelijke meerwaarde (wat zijn
de maatschappelijke kosten en baten).51 Aangezien het hier om een praktijkbeproeving in een
acceptatieomgeving ging, is geen ervaring opgedaan voor het bepalen van de impact voor de
gemeente Boxtel en de Woonstichting St. Joseph. Wel hebben wij in het vervolg van dit hoofdstuk
aangegeven hoe de gemeente Boxtel en de Woonstichting St. Joseph de praktijkbeproeving hebben
ervaren en hoe zij tegen een vervolg aankijken.
4.2.1. Ervaringen gemeente Boxtel
Bij de beschrijving van de proeftuin in hoofdstuk 2 en 3 is aangegeven wat er aan de voorkant is
gedaan in onder meer Boxtel om deze proeftuin mogelijk te maken (welke input is geleverd door
de gemeente Boxtel). De gevolgen van de proeftuin waren beperkt voor de gemeente Boxtel,
omdat de proeftuin in een acceptatieomgeving werd uitgevoerd en omdat de gemeente Boxtel in
de proeftuin de gegevenshouder was.
De gemeente Boxtel was positief over deze proeftuin voor het inschrijfproces bij de woonstichting
en bekijkt nu of het interessant is om de proeftuin van een acceptatie omgeving naar een real life
productieomgeving te brengen. De gemeente Boxtel staat ook open voor een volgende proeftuin op
een ander thema. Daarbij is het wel van belang dat de burger echt merkt dat de dienstverlening
van de gemeente beter en eenvoudiger wordt door de burger regie op zijn gegevens te geven.
Merk op: dit sluit uitstekend aan bij onze eerdere aanbeveling om het perspectief van de burger
centraal te stellen.
Er zijn door de gemeente Boxtel verschillende suggesties genoemd waar een vervolgproeftuin
interessant zou kunnen zijn. Enerzijds werd daarbij gekeken naar het sociaal domein en anderzijds
naar concrete producten zoals het aanvragen van evenementenvergunning, het doen van aangifte
van een huwelijk (incl. overleggen geboorteakte) of het aanvragen van een paspoort voor
kinderen.
4.2.2. Ervaringen Woonstichting St. Joseph
Er is in de praktijkbeproeving uiteindelijk gekozen om met een acceptatieomgeving te gaan werken
in plaats van met een productieomgeving. Als gevolg daarvan heeft de Woonstichting St. Joseph
niet kunnen ervaren wat de impact van de praktijkbeproeving op haar organisatie was. De
mogelijke besparingen voor de woonstichting zouden in de eerste fase naar verwachting overigens
beperkt zijn gebleven (tijdsbesparing van het controleren van de juistheid van de adresgegevens
bij nieuwe inschrijvingen). Het wordt vooral interessanter in volgende fasen.
51 Zie ook het opschalingskader in paragraaf 1.3.2.
53
Voor het vervolg zijn er drie richtingen voor de verdere ontwikkeling die in het bijzonder
interessant zijn voor de Woonstichting St. Joseph:
• Delen inkomensgegevens;
• Delen informatie toekenning woning t.b.v. aanvragen huurtoeslag;
• Delen informatie bijstand t.b.v. vrijstelling huurverhoging.
Delen inkomensgegevens
Op dit moment moet een burger, die zich wil inschrijven bij de Woonstichting St. Joseph, zijn
belastbaar inkomen doorgeven en moet tevens een inkomensverklaring worden overlegd. Deze
informatie is nodig om vast te stellen of de klant recht heeft op een woning van de woonstichting.
Het is enerzijds lastig voor de burger om deze informatie te verzamelen en anderzijds lastig voor
de woonstichting om deze gegevens te controleren. Het zou interessant kunnen zijn om - op een
vergelijkbare manier als in de huidige praktijkbeproeving - gegevens over de inkomensverklaring
uit te wisselen. Dat scheelt de burger mogelijk tijd en ergernis en dat bespaart de woonstichting
eveneens tijd bij het controleren van de juistheid van de gegevens (want die komen uit een
gevalideerde bron).
Bij een verdere uitwerking van deze oplossingsrichting is het overigens wel de moeite waard om
eerst te onderzoeken of woonstichting deze inkomensgegevens niet direct bij de Belastingdienst
kan opvragen (zie ook paragraaf 3.2.2 alternatieven). De Belastingdienst mag (voor adressen waar
gehuurd wordt tegen een gereguleerde huurprijs of sociale huurwoningen) informatie verstrekken
over de inkomenscategorie waartoe de bewoners van een opgevraagd adres horen.52 Exacte
inkomensgegevens mogen niet worden verstrekt.
Het is de moeite waard om te onderzoeken of deze gegevens ook gebruikt en geleverd kunnen
worden voor toekomstige huurders. En indien dat mogelijk is, hoe de (maatschappelijke) business
case er uit ziet voor deze gegevensuitwisseling. In dat geval hoeft de burger zelfs niet eens
handelingen te verrichten voor het kunnen delen van deze gegevens.53 Daarbij moet ook in het
achterhoofd worden gehouden, dat de burger feitelijk geen keuze heeft om deze gegevens al dan
niet te verstrekken wil hij in aanmerking komen voor een sociale huurwoning.
Delen informatie toekenning woning t.b.v. aanvragen huurtoeslag
Als een klant van de woonstichting een nieuwe woning toegewezen heeft gekregen, dan is er in het
algemeen ook recht op een huurtoeslag. De nieuwe bewoner neemt dan vaak contact op met de
woonstichting met daarbij de vraag hoe dit te doen (de woonstichting is in de praktijk vaak het
eerste aanspreekpunt). Het duurt dan vaak nog één tot twee maanden voordat de huurtoeslag is
toegekend en dat zorgt regelmatig voor problemen bij het betalen van de huur. Het zou daarbij
interessant kunnen zijn om meteen door de woonstichting gevalideerde informatie over de
huurprijs aan de Belastingdienst te verstrekken bij de aanvraag van een huurtoeslag. Dan kan dit
proces sneller verlopen. Dit zou tot een naar verwachting serieuze besparing bij de woonstichting
kunnen leiden. Het is interessant om te onderzoeken of deze informatie-uitwisseling - via een
vergelijkbare manier als in de huidige praktijkbeproeving - vormgegeven zou kunnen worden.
52 https://www.woonbond.nl/vraagbaak/mag-de-belastingdienst-mijn-inkomensgegevens-delen. 53 Vanzelfsprekend moet de burger ergens in het proces van toewijzing van de sociale huurwoning wel
toestemming moeten geven voor deze bevraging van de Belastingdienst door de woonstichting.
54
Delen informatie bijstand t.b.v. vrijstelling huurverhoging
De Woonstichting St. Joseph heeft de afspraak met de gemeente Boxtel dat mensen met een
uitkering geen huurverhoging krijgen. In het huidige proces informeert de woonstichting de
gemeente Boxtel over de aanstaande huurverhoging. De gemeente stuurt vervolgens een brief
naar alle burgers voor wie dit relevant is. En de burger moet dan aan de woonstichting doorgeven
dat de huurverhoging voor hen niet relevant is.
Door de burger hier regie op zijn gegevens te geven (waarbij de burger bv. gevalideerde
inkomensgegevens van de Belastingdienst kan delen) kan dit proces veel gemakkelijker en
gebruiksvriendelijker voor de burger worden ingericht. Het is dan ook niet meer nodig dat de
gemeente haar burgers een brief stuurt, het is dan voldoende als de woonstichting haar huurders
hierover informeert.
55
5 Opschalingsanalyse
In dit hoofdstuk is de opschalingsanalyse uitgewerkt. Dit hoofdstuk is in het bijzonder geschreven
ter ondersteuning van de vraag of en zo ja welke stappen gezet kunnen worden voor de
grootschalige implementatie van regie op gegevens. Dit hoofdstuk is daarom iets minder relevant
voor de individuele gemeente die zelf met regie op gegevens wil gaan werken. Wij starten met de
belangrijkste conclusies van de analyse.
5.1 Conclusies
In de proeftuin Regie op Gegevens in Boxtel is getest of het mogelijk was om de burger in staat te
stellen om toestemming te verlenen voor de levering van een beperkte set van persoonsgegevens
(NAW-gegevens) vanuit de gemeente Boxtel naar de Woonstichting St. Joseph bij het inschrijven
bij de Woonstichting als woningzoekende. De praktijkbeproeving is medio 2016 gestart en is in
augustus 2017 afgerond. De gegevensuitwisseling tussen de gemeente Boxtel en de Woonstichting
St. Joseph is in de praktijkbeproeving geslaagd. De betrokken leveranciers hebben daarbij
aangegeven dat de complexiteit bij de gegevensuitwisseling niet werd veroorzaakt door de
techniek, maar meer door juridische en organisatorische vraagstukken.
Op basis van de resultaten van de BIG op de praktijkbeproeving van Regie op Gegevens bij de
gemeente Boxtel en de Woonstichting St. Joseph valt op te maken dat de resultaten voor
beschikbaarheid en integriteit binnen de baseline vallen en dat de praktijkbeproeving op een losse
vraag voor vertrouwelijkheid en privacy buiten de baseline valt. Dat betekent dat er een
risicoanalyse moet worden uitgevoerd en een privacy impactanalyse op het project. Voor deze
specifieke praktijkbeproeving is er voor gekozen om niet de standaard diepgaande risicoanalyse uit
te voeren maar de beoordeling op de architectuur van het Qiy Trust Framework en de privacy
impactanalyse mee te nemen in het advies aangezien deze in dit geval meer toegevoegde waarde
hebben.
Op donderdag 13 juli 2017 is een gebruiksvriendelijkheidstest uitgevoerd met burgers om Regie op
Gegevens in de praktijk te beproeven. De deelnemers aan de test is gevraagd om a) Dappre te
installeren en een profiel aan te maken in Dappre, b) zich in te schrijven bij de Woonstichting St.
Joseph en c) om hun profiel te verwijderen uit Dappre. Het is alle deelnemers gelukt om alle
activiteiten met succes af te ronden.
De tevredenheid van de gebruikers tijdens de praktijkbeproeving was hoog, overigens hoger dan
op grond van de observaties van de aanwezige waarnemers zou worden verwacht. Er werd
regelmatig naar de waarnemers bij de test gekeken over wat er in de volgende stap gedaan moest
worden (vooral bij het scannen van de QR-code, of als er iets vastliep door een minder goede
wifiverbinding). Dan was enige aanmoediging of ondersteuning nuttig. Zonder deze ondersteuning
(in een real life omgeving) is het de vraag of een deel van de gebruikers niet halverwege afhaakt
of naar een helpdesk gaat bellen. Als overigens de suggesties voor verbetering worden opgepakt,
dan kan de klantervaring verder worden verbeterd en kan dit risico worden beperkt.
De deelnemers gaven aan de andere kant ook verschillende malen aan, dat het best eenvoudig
werkt als je het proces een keer hebt doorlopen. Als je precies weet wat je moet doen, kost het
ongeveer 2 minuten om dit inschrijfproces te voltooien.
56
De gemeente Boxtel was positief over deze proeftuin voor het inschrijfproces bij de woonstichting
en bekijkt nu of het interessant is om de proeftuin van een acceptatie omgeving naar een real life
productieomgeving te brengen. De gemeente Boxtel staat ook open voor een volgende proeftuin op
een ander thema. Daarbij is het wel van belang dat de burger echt merkt dat de dienstverlening
van de gemeente beter en eenvoudiger wordt door de burger regie op zijn gegevens te geven.
5.2 Aanbevelingen en vervolgacties
In de voorliggende studie is een evaluatie gemaakt van de proeftuin Regie op Gegevens in Boxtel
en is eveneens gekeken welke vervolgacties nodig zijn om Regie op Gegevens een stap verder te
kunnen brengen. In deze paragraaf zijn de aanbevelingen en vervolgacties in samenhang
beschreven.54
De verschillende suggesties zijn inhoudelijk verder gecategoriseerd:
• (Rijks)overheid? Durf te doen!
• Naar een selectie van proeftuinen.
• Onderzoeksvragen Qiy Afsprakenstelsel.
(Rijks)overheid? Durf te doen!
Regie op Gegevens faciliteren voor burgers is voor gemeenten niet interessant als de Rijksoverheid
niet meedoet. Het concept kan alleen succesvol worden geïntroduceerd als de overheid vanuit
verschillende bestuurslagen optimaal samenwerkt. Daarom zijn er verschillende gewenste
vervolgacties geformuleerd voor de Rijksoverheid. Pas als hier ‘groen licht’ op is gekomen, dan
wordt het voor gemeenten opportuun om verder te gaan met het concept Regie op Gegevens.
Aanbeveling: Het is belangrijk dat de Rijksoverheid zich positief uitspreekt over Persoonlijk
Datamanagement / Regie op Gegevens. Daarbij moet de Rijksoverheid ook duidelijk aangeven wat
de kaders en uitgangspunten zijn waaraan een afsprakenstelsel moet voldoen. Een centrale visie
en een duidelijk beleidsstandpunt zijn gewenst en het zou helpen als het kabinet hier een duidelijk
standpunt over inneemt.55
Aanbeveling: Er moet naast financiering door initiatiefnemers van nieuwe projecten ook generieke
financiering komen vanuit de Rijksoverheid voor pilots, proeftuinen en praktijkbeproevingen. Dit
omdat er veel pionierswerk moet worden verricht waar latere projecten hun voordeel mee kunnen
doen.
54 De aanbevelingen en vervolgacties zijn besproken en gevalideerd door de leden van de
begeleidingscommissie van dit onderzoek. 55 Hier is een belangrijke stap gezet, in het regeerakkoord ‘Vertrouwen in de toekomst’ van Rutte III is een
passage opgenomen over regie op gegevens.
57
Aanbeveling: Het is van belang dat de governance van het Qiy Afsprakenstelsel volledig
transparant is en los staat van de governance van partijen die aansluiten op het afsprakenstelsel
en commerciële initiatieven in de markt.
Aanbeveling: Als de overheid zich positief uitspreekt over een afsprakenstelsel, dan is het van
belang dat de overheid ook actief gaat participeren in dit afsprakenstelsel (in de rollen van
toezichthouder, gegevenshouder en gegevensvrager).
Aanbeveling: Beschikbare informatie, kennis en ervaring over Regie op Gegevens moeten beter
toegankelijk worden gemaakt voor andere partijen die met Regie op Gegevens willen gaan werken.
Naar een selectie van proeftuinen
In de concept greenpaper Regie op Gegevens? Durf te doen! is een oproep gedaan om echt aan de
slag te gaan. Op grond van de ervaringen met de proeftuin in Boxtel worden de volgende
aanbevelingen gedaan voor de selectie van toekomstige proeftuinen.
Aanbeveling: Het is van belang dat er voldoende bestuurlijke, procesmatige en financiële
experimenteerruimte is voor het beproeven van nieuwe initiatieven op het gebied van Regie op
Gegevens.
Aanbeveling: Bij de selectie van nieuwe pilots voor Regie op Gegevens is het aan te raden om het
perspectief van de burger centraal te stellen. Kies die processen en diensten, waar Regie op
Gegevens echt direct meerwaarde heeft voor de burger. Een groot belang voor de burger (of de
ondernemer) kan de ontwikkeling van persoonlijk datamanagement een grote push geven in de
juiste richting en hierdoor zou het gebruik en de toepassing van het concept Regie op Gegevens
een vlucht kunnen nemen.
Aanbeveling: Bij de selectie van nieuwe pilots of praktijkbeproevingen is het aan te raden om te
streven naar beheersing van de complexiteit om daarmee de kans op succes te vergroten,
bijvoorbeeld door te starten met een beperkt aantal stakeholders en softwareleveranciers of door
te starten met een goed beheersbaar proces.
58
Onderzoeksvragen Qiy Afsprakenstelsel
Bij de uitvoering van de Proof of Concept met de gemeente Boxtel en de Woonstichting St. Joseph
zijn verschillende aandachtspunten naar voren gekomen met betrekking tot de werking van het Qiy
Afsprakenstelsel in relatie tot bestaande voorzieningen en wettelijke verplichtingen. Het gaat hier
(met uitzondering van de GEMMA aanbeveling) om generieke onderzoeksvragen, die idealiter in
een separaat onderzoekspoor gelijktijdig met proeftuinen kunnen worden beantwoord.
Aanbeveling: Er moet onderzocht worden of, en tegen welke kosten, gebruik gemaakt kan
worden van landelijke voorzieningen van de basisregistraties (bv. GBA-V, LV BAG, LV WOZ, etc.),
koppelnetwerken zoals bv. RINIS en Suwinet of MijnOverheid als basis (bron) voor de
gegevensuitwisseling bij Regie op Gegevens.
Aanbeveling: Onderzoek of, en tegen welke kosten, het Qiy Trust Framework aan kan sluiten op
het BSN-koppelregister en gebruik kan maken van Polymorfe Identiteiten (PI) en de Polymorfe
Pseudoniemen (PP) in plaats van de Qiy-ID’s. Mocht deze weg onbegaanbaar blijken, dan moet
onderzocht worden op welke wijze dit wel goed geregeld kan worden.
Aanbeveling: Onderzoek op welke wijze het Qiy Trust Framework bij het verlenen van een
toestemming het gehanteerde authenticatieniveau bij de toestemming kan vastleggen en kan
doorgeven aan de gegevenshouders.
Aanbeveling: Het is van belang om een nadere uitwerking en nadere afspraken te maken ten
aanzien van de inhoud en naamgeving van claimsets en attributen binnen claimsets. Het is daarbij
ook interessant om te onderzoeken of en hoe de Stelselcatalogus daarin een rol kan vervullen.
Aanbeveling: Onderzoek of, en tegen welke kosten, de overheid als issuer van Qiy nodes en
leverancier van een eigen app kan optreden. Onderzoek tevens in hoeverre de functionaliteit van
de app ten aanzien van inzien van verleende toestemmingen en uitgevoerde
gegevensuitwisselingen opgenomen kan worden in MijnOverheid.
Aanbeveling: Het is aan te raden dat er een nadere uitwerking wordt gemaakt van de GEMMA
architectuur (bedrijfsarchitectuur, informatiearchitectuur en technische architectuur) van Regie op
Gegevens.
59
Aanbeveling: Het is gewenst dat er een beter beeld komt van Regie op Gegevens in relatie tot de
digitale vaardigheden van burgers. In hoeverre is de burger in staat om digitaal de regie over zijn
gegevens te voeren?
Aanbeveling: Het is gewenst dat er een beter beeld komt hoe de burger aankijkt tegen zaken als
het geven van toestemming voor het delen van gegevens. Hoe weegt een burger zaken als
privacy, zelfbeschikking en gebruiksgemak tegen elkaar af? Wat wil een burger hiermee? Wat
betekent dat voor Regie op Gegevens?
Aanbeveling: Er moet onderzocht worden in hoeverre de gegevenshouder bij Regie op Gegevens
een eigen verantwoordelijkheid heeft met betrekking tot de manier waarop de gegevensvrager
omgaat met deze gegevens. Bepaalt de burger zelf volledig met wie hij/zij gegevens deelt of zijn
hiervoor andere kaders gewenst (goed huisvaderschap van de gegevens)?
Naast de genoemde gewenste vervolgacties zijn er in hoofdstuk 3 en 4 van het volledige
evaluatierapport ook nog concrete suggesties voor verdere verbetering van de Dappre app en van
nog te ontwikkelen toekomstige apps meegenomen. Deze hebben wij in deze paragraaf niet apart
uitgeschreven.
60
Bijlage A: Gesprekspartners
Organisatie Naam
Almere Fred Brekelmans
Digital Me Maarten Louman
Den Bosch Karin Akkers
Eindhoven Dewi Delhoofen
Eindhoven Ankie Jansen
Enable-U Jascha Gregorowitsch
Enable-U Tomas Liem
MijnGemeenteDichtbij Marjolein Dortmans
MijnGemeenteDichtbij Ton Hanegraaf
MijnGemeenteDichtbij Rianne de Jong
MijnGemeenteDichtbij Jan Kooiman
MijnGemeenteDichtbij Frans Ruijs
Ministerie van BZK Douwe Leguit
Ministerie van BZK Sandra Taal
Qiy Foundation Marcel van Galen
QVision Jasper Simmer
Rotterdam Ursila Jaddoe
Rotterdam Esmeralde Marsman
Wind Internet Jan ten Hoor
Woonstichting St. Joseph Gerard Clercx
Woonstichting St. Joseph Inge Huisman
Zaanstad Tom Uleman
61
Bijlage B: Gebruikte bronnen
Rapporten en studies
Berenschot (2016), Regeldruk in het toegangsproces tot het sociale domein
De Nationale Ombudsman (2017), Onderzoek naar de knelpunten voor burgers bij MijnOverheid /
de Berichtenbox
Denkdag Digitale Samenleving (2016), Dienstverlening 2025. Nederlandse gemeenten in een
nieuwe relatie met de digitale samenleving
Forum Standaardisatie (2016), Analyse van het afsprakenstelsel Qiy. Rapport van bevindingen
KING (2016), Handreiking Dataclassificatie. Een van de producten van de operationele variant van
de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
KING (2014), Baselinetoets. Een van de producten van de operationele variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG)
Programma Regie op Gegevens (2017), Regie op gegevens? Aan de slag! Meer Waarde, voor
iedereen. Programmavoorstel 2018-2021
Innovalor & Newcom Research & Consultancy (2015), Nederlanders over Persoonlijke Data
Privacy Management Partners (2016), PIA Qiy. Privacy Impact Assessment op het Qiy
Afsprakenstelsel. Versie 0.99
Rijksoverheid (2017), Regie op Gegevens? Durf te doen! Concept-greenpaper t.b.v.
werkconferentie Regie op Gegevens 4 juli 2017
Studiegroep Informatiesamenleving en Overheid (2017), Maak Waar!
Universiteit van Twente (2007), Elektronische publieke dienstverlening in de toekomst. Opinies
over de strategische doelstellingen en perspectieven achter elektronische overheidsdienstverlening.
Van Erven, M. & T. Venrooy (2015), Impactanalyse Qiy Afsprakenstelsel binnen het gemeentelijk
domein
VVD, CDA, D66 en ChristenUnie (2017), Vertrouwen in de toekomst. Regeerakkoord 2017-2021
Internet
https://www.da2020.nl
https://digital-me.nl/rog/
http://www.financieelpaspoort.nl/
https://www.ibdgemeenten.nl
62
https://www.kinggemeenten.nl
https://www.medmij.nl/
https://vng.nl/samen-organiseren
https://en.wikipedia.org/wiki/Personal_information_management
https://www.woonbond.nl
63
Bijlage C: Schermen inschrijven bij woonstichting
De schermen zijn ook te vinden op de volgende link: https://digital-me.nl/rog/.
1.
2.
3.
4.
66
Bijlage D: Detailresultaten BIG
De waardering is vetgedrukt en in het geel gemarkeerd.
Resultaten vragenlijst beschikbaarheid
Gevolgen van het niet beschikbaar hebben
van de benodigde informatie of gegevens
(in het ergste geval)
Waardering Argumentatie (verplicht invullen)
1u 1d 1w 1m
B1 Managementbeslissingen:
Na welke tijdsduur is het ontbreken van
informatie nadelig voor het nemen van
management beslissingen?
3
2
1
0
De uitwisseling van de
persoonsgegevens met Woonstichting
St. Joseph heeft geen impact op
beslissingen binnen gemeente Boxtel.
B2 Imagoverlies:
Hoe lang duurt het voordat er sprake is van
imagoverlies wanneer informatie niet
voorhanden is?
3
2
1
0
Indien de persoonsgegevens door
gemeente Boxtel tijdens het proces
van inschrijven niet geleverd kunnen
worden, stokt daarmee het proces
van inschrijven bij Woonstichting St.
Joseph. De burger heeft dan nog wel
de mogelijkheid om de gegevens
handmatig in te voeren, dus de
burger kan de inschrijving wel
afmaken. Het zal echter negatief
afstralen op gemeente Boxtel als de
uitwisseling niet werkt.
B3 Hapering dienstverlening:
Hoe lang kan de applicatie of informatie
niet beschikbaar zijn voordat er
daadwerkelijk hapering in de
dienstverlening aan
burgers/bedrijven/ketenpartners ontstaat?
3
2
1
0
De dienstverlening wordt niet
verstoord. De burger heeft de optie
om de gegevens handmatig in te
voeren in plaats van via de
geautomatiseerde koppeling.
B4 Wettelijke aansprakelijkheid:
Hoe lang kan de informatie niet
beschikbaar zijn voordat er wettelijke of
contractuele verplichtingen niet kunnen
worden nagekomen?
3
2
1
0
Er is geen sprake van wettelijke
verplichtingen en naar verwachting
ook geen contractuele.
B5 Additionele kosten:
Na welke periode zijn additionele kosten
voor de organisatie te verwachten, bij het
niet beschikbaar zijn van de informatie?
3
2
1
0
Additionele kosten is geen sprake van
aangezien de burger de optie heeft
om handmatig de gegevens in te
voeren.
B6 Moreel van de medewerkers:
Na welke periode is er sprake van een
duidelijk negatieve invloed op het moreel
en de motivatie van medewerkers,
wanneer de informatievoorziening hapert?
3
2
1
0
Medewerkers kunnen gewoon hun
werk blijven doen.
B7 Herstel:
0
1
2
3
Er is geen sprake van ‘herstel’
aangezien het proces van inschrijving
67
Hoe lang mag het herstellen na een
onbeschikbaarheid van een applicatie of
informatie duren voordat er daadwerkelijk
hapering in de dienstverlening aan burgers
/ bedrijven / ketenpartners ontstaat? Denk
ook aan: zijn er hoge herstelkosten? Dus
achteraf verwerken van verloren gegaan
werk.
bij Woonstichting St. Joseph ook door
kan gaan zonder de beschikking te
hebben over de geautomatiseerde
gegevensuitwisseling.
Subtotalen B1-B7 0 0 1 0
Totaal Beschikbaarheid: 1
3 = zeer ernstige schade: de dienstverlening aan de burger/bedrijven/ketenpartners komt in gevaar, raadsvragen,
reactie wethouder vereist, berichten in de krant, professionaliteit van het concern, de gemeentelijke dienst ter
discussie.
2 = ernstige schade: krantenkoppen, vragen van belangrijke partners/klanten, budgettaire problemen.
1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten.
0 = verwaarloosbare schade of niet van toepassing.
Resultaten vragenlijst integriteit
Gevolgen van fouten in informatie of
doelbewuste manipulatie van informatie om
te frauderen of fraude te maskeren
(in het ergste geval)
Waardering Argumentatie (verplicht invullen)
I1 Managementbeslissingen:
Kan onjuiste informatie leiden tot onjuiste
beslissingen? Wat zijn de gevolgen?
3
2
1
0
De gemeente neemt geen beslissing
naast het besluit om op basis van een
vraag gegevens te verstrekken. De
vraag kan alleen van
geauthenticeerde burgers komen. Het
enig aanwezige risico is
ongeautoriseerde manipulatie van het
vraagbericht waardoor de gemeente
verkeerde gegevens verstrekt. De
beveiliging van de
communicatielijnen en het Qiy
Afsprakenstelsel maakt dit scenario
uiterst onwaarschijnlijk.
I2 Fraude potentie:
Zijn er frauderisico’s, en welke gevolgen
hebben deze?
3
2
1
0
Er zijn geen frauderisico’s. Potentieel
zou een burger met een DigiD, die
niet van de burger is, de
toestemmingen binnen het
Afsprakenstelsel kunnen aanmaken
maar dat heeft geen impact op
gemeente Boxtel.
I3 Onderbreking van strategische processen:
In hoeverre kunnen de kernprocessen van
de organisatie onderbroken worden als
gevolg van ongeautoriseerde wijzigingen
van, of fouten in informatie?
3
2
1
0
De kernprocessen van gemeente
Boxtel worden door de verstrekking
van persoonsgegevens aan
Woonstichting St. Joseph niet
geraakt.
68
I4 Vertrouwen van het publiek c.q. klanten:
Kan het vertrouwen van het publiek
geschaad worden door onjuiste informatie?
3
2
1
0
Indien de gemeente Boxtel onjuiste
gegevens verstrekt, zal dit het
vertrouwen van de burger zeker
schaden. De burger ziet immers
direct dat de gegevens niet correct
zijn.
I5 Wettelijke aansprakelijkheid:
Wat kunnen de gevolgen zijn van het niet
voldoen aan wettelijke of contractuele
verplichtingen die veroorzaakt worden door
onjuiste informatie?
3
2
1
0
De gevolgen van het verstrekken van
onjuiste informatie zijn gelimiteerd
tot de sancties die vanuit de huidige
wet bescherming persoonsgegevens
(Wbp) of de toekomstige Algemene
Verordening Gegevensbescherming
(AVG) opgelegd kunnen worden door
de Autoriteit Persoonsgegevens (AP)
ten aanzien van een datalek. Een
sanctie zou door de AP kunnen
worden opgelegd indien gemeente
Boxtel gegevens van verkeerde
personen verstrekt naar
Woonstichting St. Joseph. De kans
hierop is laag.
I6 Additionele kosten:
In hoeverre kunnen er additionele kosten
ontstaan door het toepassen van onjuiste
informatie? Bijvoorbeeld door het moeten
herstellen van een corrupte database of
opnieuw invoeren van gegevens.
3
2
1
0
De koppeling betreft enkel het op
basis van een pseudoID lezen van
persoonsgegevens uit het
gegevensmagazijn van gemeente
Boxtel. Er kan dus op geen enkele
manier sprake zijn van schade door
corrupte databases of het opnieuw
moeten invoeren van gegevens.
I7 Moreel van de medewerkers:
Wat zijn de schadelijke effecten op het
moreel van medewerkers als u onjuiste
informatie gebruikt?
3
2
1
0
Binnen gemeente Boxtel wordt veel
belang gehecht aan kwaliteit van
gegevens. In de pilot wordt
Integriteit op 2 geschat gezien de
beperkte inhoud van de claimset.
Subtotalen I1-I7 0 4 1 0
Totaal Integriteit: 5
3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen
professionaliteit van het concern of de gemeentelijke dienst ter discussie.
2 = ernstige schade: krantenkoppen, vragen van belangrijke partners/klanten, burgers budgettaire problemen.
1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten.
0 = verwaarloosbare schade of niet van toepassing.
69
Resultaten vragenlijst vertrouwelijkheid
Gevolgen van onbedoelde of
ongeautoriseerde verspreiding van
gegevens of informatie (in het ergste
geval)
Waardering Argumentatie (verplicht invullen)
V1 Vertrouwen van de burger:
Wat zijn de gevolgen voor de gemeente
indien de binnen het proces beschikbare
informatie te vroeg c.q. niet volgens de
regels verspreid wordt?
3
2
1
0
Niet van toepassing. Van gegevens die
te vroeg worden verspreid kan geen
sprake zijn aangezien de gegevens
enkel op aanvraag van Woonstichting
St. Joseph en na toestemming van de
burger geleverd worden. Het
verspreiden van de gegevens vindt om
deze reden ook altijd plaats volgens
de regels.
V2 Vertrouwen van het publiek:
Wat zijn de gevolgen voor het publieke
imago van de gemeente als vertrouwelijke
informatie van de organisatie onterecht
wordt verspreid?
3
2
1
0
Dit wordt binnen de pilot als laag
ingeschat.
V3 Vertrouwen van ketenpartners:
Kan de gemeente toegang tot de keten
geweigerd worden?
3
2
1
0
Niet van toepassing. Dit kan niet. De
keten is in deze de uitwisseling van
gegevens tussen gemeente Boxtel en
Woonstichting St. Joseph via de Qiy
node van de burger. Gemeente Boxtel
levert slechts gegevens op aanvraag
van Woonstichting St. Joseph.
Gemeente Boxtel heeft vanuit de eigen
processen geen toegang nodig tot
deze keten.
V4 Vertrouwen van ketenpartners:
Wat zijn de gevolgen voor de relatie met
de ketenpartners, als vertrouwelijke
informatie onterecht wordt verspreid.
3 2 1 0 Dit geldt voornamelijk voor Qiy. De
NAW-gegevens zouden qua proces
immers anders ook bij gemeente
Boxtel en Woonstichting St Joseph
aanwezig zijn. Met Qiy is er een extra
schakel in het proces gekomen. De
impact als daar gegevens zouden
lekken of onveilig verstuurd worden,
wordt als groot gezien. Gezien de
maatregelen wordt de kans laag
geschat.
V5 (Wettelijke) Aansprakelijkheid:
Wat zijn de gevolgen voor (wettelijke)
aansprakelijkheid bij het onterecht
verspreiden van deze informatie?
3
2
1
0
De wettelijke aansprakelijkheid voor
onterechte verspreiding is zeer
beperkt. Vanuit de meldplicht
datalekken (Wbp) en de toekomstige
AVG zou een sanctie opgelegd kunnen
worden door de Autoriteit
Persoonsgegevens. Verdere
70
aansprakelijkheid is niet te verwachten
aangezien de gegevens die in de keten
verwerkt worden beperkt zijn tot
NAW-gegevens en geen bijzondere
persoonsgegevens bevatten.
V6 Additionele kosten:
In hoeverre is er sprake van additionele
kosten door onterechte verspreiding van
deze informatie?
3
2
1
0
Er worden geen additionele kosten
verwacht.
V7 Moreel van de medewerkers:
In hoeverre kan een duidelijk negatieve
invloed op het moreel en de motivatie van
medewerkers een gevolg zijn van de
onterechte verspreiding van informatie?
3
2
1
0
Er wordt binnen gemeente Boxtel veel
belang gehecht aan de
vertrouwelijkheid van
persoonsgegevens. Aangezien het
‘slechts’ een pilot betreft met enkel
NAW-gegevens wordt de impact op 2
geschat.
Subtotalen V1-V7 3 2 0 0
Totaal Vertrouwelijkheid: 5
3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen
professionaliteit van de gemeentelijke dienst ter discussie.
2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers afnemers.
1 = acceptabele schade, binnen marges: incident met direct betrokkenen is snel recht te zetten.
0 = verwaarloosbare schade of niet van toepassing.
Resultaten vragenlijst privacy
Persoonlijke gevolgen van onbedoelde of
ongeautoriseerde verspreiding van
persoonsgegevens van betrokkene(n)
(in het ernstigste geval)
Waardering Argumentatie
P1 Veiligheid:
Is de veiligheid van personen in het geding
indien persoonsgegevens uitlekken of
onterecht worden verwerkt?
3
2
1
0
De gegevens die worden uitgewisseld
zijn beperkt tot de NAW-gegevens
van één persoon. Er worden geen
bijzondere persoonsgegevens
verwerkt. In zijn algemeenheid is de
veiligheid van personen bij het lekken
of onterecht verwerken van deze
gegevens niet in het geding. Er geldt
echter een uitzondering voor situaties
waarbij de burger een speciaal
belang heeft dat zijn/ haar
adresgegevens geheim blijven/ niet
publiek bekend worden (zoals bij
iemand die in een blijf van mijn lijf
huis woont). Vandaar dat de privacy
toch als 2 gescoord is.
71
P2 Chantage:
Kan de betrokkene eventueel gechanteerd
worden bij het uitlekken van
persoonsgegevens?
3
2
1
0
Gezien de aard van gegevens die
worden uitgewisseld, is het niet
mogelijk dat een persoon hiermee
gechanteerd wordt.
P3 Identiteits- en financiële fraude:
Bestaat de mogelijkheid dat door het
uitlekken van persoonsgegevens identiteits-
of financiële fraude kan plaatsvinden?
3
2
1
0
Er is geen risico dat de gegevens op
deze manier gebruikt worden. Er
worden geen bijzondere
persoonsgegevens (zoals het BSN)
verwerkt.
P4 Fysieke en geestelijke schade:
Kan de betrokkene schade oplopen indien
gegevens over de persoon openbaar worden
of onterecht worden verwerkt?
3
2
1
0
Hier zal gezien de aard van de
gegevens die worden verwerkt geen
sprake van zijn.
P5 Vertrouwen van de burger:
Wat zijn de gevolgen voor het publieke
imago van de gemeente als vertrouwelijke
informatie over personen onterecht wordt
verspreid / verwerkt?
3
2
1
0
Indien gemeente Boxtel alle
beveiligingen en maatregelen ten
spijt toch gegevens van personen
verspreidt, dan is de imagoschade
beperkt. Het gaat enkel over de
NAW-gegevens van personen en niet
over bijzondere gegevens zoals het
BSN.
P6 (Wettelijke) Aansprakelijkheid:
Wat zijn de gevolgen voor (wettelijke)
aansprakelijkheid bij het onterecht
verspreiden / verwerken van deze
persoonlijke informatie?
3
2
1
0
De gevolgen zijn zeer beperkt
aangezien er geen gevoelige
gegevens verwerkt worden (is niet
helemaal uit te sluiten indien een
situatie zoals bij P1 zich voordoet)
P7 Additionele kosten:
In hoeverre is er sprake van additionele
kosten door onterechte verspreiding /
verwerking van deze persoonlijke
informatie?
3
2
1
0
Er is geen sprake van additionele
kosten.
P8 Moreel van de medewerkers:
In hoeverre kan een duidelijk negatieve
invloed op het moreel en de motivatie van
medewerkers een gevolg zijn van de
onterechte verspreiding / verwerking van
informatie?
3
2
1
0
Er wordt binnen gemeente Boxtel
veel belang gehecht aan
privacybescherming van haar
burgers. Aangezien het “slechts” een
pilot betreft met enkel NAW gegevens
wordt de impact op 2 geschat.
Subtotalen P1-P8 0 4 1 0
Subtotaal Persoonsgegevens (P1-P9): 5
3 = zeer ernstige schade voor de persoon en de gemeentelijke organisatie: raadsvragen, reactie wethouder
vereist, belangrijke partners/burgers en derden stellen professionaliteit van de gemeentelijke dienst ter discussie
(let op, indien meldplicht datalekken wordt ingevoerd is door de hoogte van de boete ook een ‘3’ mogelijk).
2 = ernstige schade voor de persoon, de gemeentelijke dienst: krantenkoppen, vragen van partners/burgers, boete
CBP.
1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten.
0 = verwaarloosbare schade of niet van toepassing.
72
Algemene vragen m.b.t. doeleinden en
doelbinding van de verwerking van
persoonsgegevens
Ja Nee Argumentatie
P9 Hebt u het / de specifieke (doel)en waarvoor u de
persoonsgegevens gaat verwerken in detail
vastgelegd?
0 3
Nog niet. Voor live brengen van de pilot
moeten deze beschreven zijn. Dit is gedaan
voor de start van de pilot gedaan (in een
formulier waarmee de burger toestemming
kon geven voor de gegevensuitwisseling).
P
10
Worden bestaande persoonsgegevens voor nieuwe
doeleinden verwerkt in een bestaand of nieuw
systeem?
3 0 Persoonsgegevens die in de
gegevensmakelaar zijn geadministreerd
worden gebruikt voor uitwisseling met
Woonstichting St. Joseph ten behoeve van
het proces van inschrijven als
woningzoekende bij Woonstichting St
Joseph.
P
11
Gaat het bij het project / systeem om het
nastreven van nieuwe aanvullende doeleinden
door bestaande persoonsgegevens, of
verzamelingen daarvan, te gebruiken, vergelijken,
delen koppelen of anderszins verder te
verwerken?
3 0 Hier is geen sprake van.
P
12
Indien u op P11 ja hebt geantwoord:
Hebben alle personen / instanties / systemen die
betrokken zijn bij de verwerking dezelfde
doelstelling met de verwerking van de
desbetreffende persoonsgegevens of is daarmee
spanning mogelijk gelet op hun taak of hun
belang?
0 3 -
P
13
Indien u op P11 ja hebt geantwoord:
Gelden dezelfde doelen voor het gehele proces?
0 3 -
P
14
Worden de verzamelde / verwerkte
persoonsgegevens gebruikt om het gedrag / de
aanwezigheid of de prestaties van mensen in kaart
te brengen en / of te beoordelen en / of te
voorspellen?
3 0 Nee
P
15
Indien u op P14 ja hebt geantwoord:
Zijn de betrokkenen daarvan op de hoogte?
0 3 Niet van toepassing.
P
16
Indien u op P14 ja hebt geantwoord:
Zijn de gegevens die hiervoor worden gebruikt,
afkomstig uit verschillende (eventueel externe)
bronnen en zijn zij oorspronkelijk voor andere
doelen verzameld?
3 0 Niet van toepassing.
Subtotalen P9-P16 3 3
Subtotaal Persoonsgegevens (P9-P16): 6
73
KWALITEITSINSTITUUT NEDERLANDSE GEMEENTEN
NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG
T 070 373 80 08 F 070 363 56 82 [email protected]
WWW.KINGGEMEENTEN.NL